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内 容 提 要 


防火 墙 技术 复杂 ， 懂 的 人 少 ， 学 的 人 有 苦难 心理 。 更 令 人 困扰 的 是 ， 目 前 市 场 上 还 没有 一 本 系统 介绍 
此 类 的 书 。 

为 此 ， 华 为 策划 了 本 书 。 本 书 深入 介绍 了 华为 防火 墙 的 核心 技术 原理 、 应 用 场景 及 配置 方法 ， 并 给 出 
常见 的 实战 案例 ， 可 以 解决 如 下 几 个 困扰 大 家 已 久 的 问题 。 

1. 本 书 以 防火 墙 核心 技术 为 线索 ， 内 容 覆 盖 了 高 端 和 中 低 端 防火 墙 ， 以 主流 版 本 为 例 介绍 配置 。 对 
于 读者 容易 产生 疑问 的 知识 点 ， 本 书 都 有 一 一 解答 。 所 以 本 书 可 以 帮助 读者 掌握 华为 防火 墙 产品 的 核心 技 
术 ， 而 不 是 仅 掌握 某 个 型 号 或 版 本 。 

2. 本 书 内 容 深度 高 于 防火 墙 高 级 培训 教材 ， 原 理 讲解 深入 ， 有 实验 演示 ， 有 抓 包 分 析 ， 并 能 结合 现 
网 场景 进行 点 评 ， 可 以 解决 当前 高 级 培训 教材 内 容 不 够 深入 的 问题 。 

本 书 的 原型 是 系列 技术 贴 ， 部 分 内 容 在 华为 公司 企业 论坛 “ 强 叔 悠 墙 ” 上 发 布 过 ， 大 家 可 以 先 去 了 解 
一 下 , 再 决定 是 否 购买 。 相 关内 容 在 论坛 连载 不 足 一 年 ， 累计 点 击 量 25 万 +, 好 评 1500+。 我 们 在 完善 细节 、 
扩展 内 容 的 基础 上 出 版 此 书 。 可 以 说 ，“ 强 叔 ” 已 然 倾 襄 相 授 ， 希 望 本 书 能 够 不 辱 防火 墙 产品 的 重托 ， 能 
够 答谢 广大 “ 强 粉 ”的 厚爱 。 
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对 


你 了 解 网 络 安全 吗 ? 

你 了 解 防火 墙 吗 ? 

你 了 解 防 火 墙 的 核心 功能 和 技术 要 点 吗 ? 

很 多 小 伙伴 都 反映 安全 产品 很 难 学 。 为 什么 呢 ? 概 其 原因 就 是 交换 路 由 理念 早已 深 
入 人 心 ， 而 防火 墙 设计 思想 大 家 接触 很 少 ， 社 会 上 的 安全 认证 不 够 普及 ， 厂 商 提 供 的 产 
品 培 训 材 料 数量 不 多 、 内 容 枯燥 、 星 涩 难 懂 ， 难 以 吸引 更 多 的 数据 通信 工程 师 主 动 学 习 
安全 产品 。 在 网 络 安全 形势 日 益 严峻 的 今天 ， 安 全 已 经 是 任何 一 个 网 络 工程 师 都 必须 考 
虑 的 关键 点 。 网 络 工程 师 急 需 既 通俗 又 深入 的 学 习 教 材 ， 帮 助 自己 恶 补 安全 知识 ， 本 书 
的 推出 恰好 抓 住 了 这 一 点 。 华 为 防火 墙 产 品 领域 的 资深 技术 专家 以 “ 强 叔 ”的 名 义 ， 在 
华为 企业 技术 论坛 发 表 了 系列 技术 贴 “ 强 叔 侃 墙 ?， 以 幽默 、 轻 松 的 笔法 系统 地 介绍 了 防 
火 墙 的 相关 知识 和 技术 特点 , 好 评 如 潮 、 粉 丝 云集 。 正如 总 编辑 徐 慧 洋 所 写 :“ 强 叔 悠 墙 2 
系列 “ 恰 如 王 阳 明 讲学 ， 传 递 内功 心 法 ， 又 如 诸葛 武 侯 杀 临 ， 指 点 排 兵 布 阵 。 文 字 议 谐 
风趣 绝 不 照 本 宣 科 ， 核 心 技 术 深 入 挖掘 绝 不 晴 贱 点 水 ， 现 网 场景 演绎 逻辑 严密 绝 不 简单 
堆砌 ”。 ; 
本 人 曾 很 幸运 地 每 期 拜读 “ 强 叔 佩 墙 ”连载 贴 ， 它 让 工作 繁忙 的 我 用 较 少 的 时 间 
就 能 系统 地 学 习 安全 领域 的 相关 知识 ， 使 我 有 机 会 快速 澄清 和 深入 理解 很 多 安全 领域 
的 概念 和 知识 。 在 客户 、 经 销 商 处 也 能 经 常 听 到 大 家 聊 “ 强 叔 悠 墙 ?， 大 家 都 说 “ 强 叔 
候 墙 ” 比 手册 讲 得 深入 ， 却 一 点 不 枯燥 。 强 叔 以 讲 故 事 的 方式 让 大 家 在 不 知 不 觉 中 就 
跟随 故事 情节 深入 到 每 个 特性 专题 的 细节 ， 从 字里行间 就 能 够 感受 到 强 叔 的 丰富 经 验 
和 和 良 苦 用 心 。 

原 以 为 技术 贴 演进 到 《 强 叔 悠 墙 》 电 子 专刊 ， 强 叔 们 的 任务 就 光荣 完成 了 。 但 是 ， 
2014 年 底 徐 慧 洋 找到 我 ， 让 我 给 准备 正式 出 版 的 《华为 防火 墙 技术 漫 淡 《〈 即 原来 的 〈 强 
叔 侃 墙 ) )》 写 一 篇 序 。 这 事 给 了 我 两 个 惊喜 : 一 喜 是 本 书 为 华为 防火 墙 用 户 、 工 程 师 、 
学 员 送 了 一 份 新 年 大 礼 ， 弥 补 了 防火 墙 产品 多 年 的 遗憾 ， 二 喜 是 本 书 的 内 容 比 原来 的 技 
术 帖 又 丰富 很 多 ， 不 仅 把 强 粉 们 提出 来 的 问题 和 答案 融合 进去 了 ， 还 补充 了 DSVPN、 
多 出 口 NAT、 各 种 特性 的 安全 策略 配置 思路 、 防 火 墙 旁 路 场景 下 的 双 机 热 备 ， 以 及 第 三 
代 双 机 热 备 等 许多 内 容 ， 更 加 系统 完整 。 

本 书 是 一 部 传递 防火 墙 技术 精 能 的 武功 秘籍 ， 是 学 习 华 为 防火 墙 首选 的 技术 
书籍 。 

学 好 技术 需要 坚持 不 懈 、 持 之 以 恒 ， 本 书 将 会 帮 大 家 在 技术 专家 的 路 上 跑 得 更 快 、 
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更 远 。 支 持 华为 防火 墙 的 朋友 们 ， 支 持 强 叔 吧 。 强 叔 不 仅 是 防火 墙 的 技术 专家 ， 还 是 大 
家 的 知心 朋友 ! 

最 后 ， 再 次 向 本 书 的 创作 编著 集体 予以 致敬 ， 是 你 们 的 努力 ， 让 广大 读者 看 到 了 这 
么 好 的 技术 专刊 书籍 。 我 衷心 祝愿 华为 安全 论坛 英杰 辈出 ， 华 为 安全 产品 名 满 天 下 。 


) ~ 人 
i 


华为 安全 领域 总 经 理 
2015 年 2 月 


zl 


读者 对 象 


本 书 的 目标 读者 为 有 数据 通信 基础 ， 但 需要 系统 学 习 安 全 技术 的 工程 师 ， 包 括 以 下 
几 类 读者 。 

国 ”华为 防火 墙 的 用 户 

本 书 可 作为 自学 用 书 ， 帮 助 华为 防火 墙 用 户 能 够 更 快 地 熟悉 防火 墙 ， 了 解 防 火 墙 的 
关键 技术 原理 ， 掌 握 防 火 墙 部 署 技巧 ， 找 到 解决 防火 墙 问 题 的 思路 。 

国 ICT 从 业 人 员 

本 书 可 作为 自学 用 书 ， 帮 助 ICT 从 业 人 员 能 够 更 快 地 熟悉 防火 墙 ， 了 解 防 火 墙 的 关 
键 技术 原理 ， 掌 握 防火 墙 部 署 技巧 ， 找 到 解决 防火 墙 问题 的 思路 。 

本 书 可 作为 HCIE 安全 培训 认证 参考 书 ， 有 助 于 ICT 从 业 人 员 尽 快 通过 华为 认证 ， 
提升 个 人 价值 。 

四 高校 学 生 

本 书 可 作为 计算 机 通信 等 相关 专业 学 生 的 自学 参考 书 。 配 合 eNSP 软件 ， 可 以 帮助 
学 生 快 速 地 熟悉 防火 墙 的 操作 ， 使 学 生 能 更 快 地 积累 企业 网 络 实践 经 验 ， 在 今后 的 职业 
生涯 中 有 一 个 更 好 的 起 步 。 

图 ”对 信息 和 网 络 技术 感 兴趣 的 爱好 者 

本 书 可 作为 学 习 信 息 和 网 络 技 术 的 参考 书籍 ， 使 爱好 者 了 解 华为 的 产品 和 技术 特 
点 ， 掌 握 华为 产品 和 技术 的 应 用 ， 为 其 进一步 的 技术 研究 提供 工具 和 指导 。 


主要 内 容 


全 书 共 分 为 两 大 部 分 ， 包括 理论 篇 和 实战 篇 。 理 论 篇 共 包 含 10 章 , 介绍 了 传统 防火 墙 核 
心 功能 的 原理 、 应 用 场景 及 配置 方法 ， 实 战 篇 共 包 含 4 个 实际 案例 ， 采 用 了 先 给 出 场景 ， 再 
给 配置 ， 一 边 介绍 配置 一 边 点 评 的 写作 方式 ， 帮 助 读者 充分 理解 理论 应 用 于 实践 时 的 技巧 。 

理论 篇 

第 1 章 ”基础 知识 

本 章 介绍 了 防火 墙 的 定义 、 发 展 史 和 华为 防火 墙 的 系列 产品 ， 另 外 还 介绍 了 安全 区 
域 的 概念 、 原 理 、 配 置 方法 。 安 全 区 域 是 防火 墙 产品 设计 理念 的 代表 ， 是 大 家 必须 先 掌 
握 的 入 门 级 概念 。 

第 2 章 安全 策略 

本 章 介绍 安全 策略 相关 的 概念 、 安 全 策略 发 展 历史 、 安 全 策略 配置 方法 ， 另 外 还 对 
ASPF 的 原理 〈 包 括 Server-map 表 ) 及 配置 进行 了 详细 的 分 析 。 掌 握 这 一 章 是 学 习 后 面 
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所 有 特性 的 基础 。 

第 3 章 攻击 防范 

本 章 介 绍 了 单 包 攻击 、 流 量 型 攻击 的 概念 ， 重 点 介绍 了 SYN Flood、UDP Flood、 
DNS Flood、HTTP Flood 攻击 、 防 御 原 理 以 及 常用 的 防御 方法 。 

第 4 章 NAT 

本 章 内 容 分 为 三 个 层次 。 首 先 介绍 了 源 NAT( 包 括 NAT、NAPT、 Easy-IP、Smart NAT、 
三 元 组 NAT)、NAT Server、NAT ALG 等 NAT 基本 技术 的 原理 、 应 用 场景 及 配置 方法 ; 
然后 介绍 了 多 出 口 场景 下 的 源 NAT、NAT Server, 以 及 双向 NAT 的 应 用 场景 及 配置 技巧 ; 
最 后 详细 分 析 了 NAT 场景 下 黑洞 路 由 的 作用 ， 并 为 感 兴趣 的 读者 爆料 了 NAT 地 址 复 用 
技术 的 内 幕 。 

第 5 章 GRE&L2TP VPN 

基于 Internet 的 VPN 技术 五 花 八 门 、 名 目 繁多 ， 本 书 只 介绍 企业 用 户 使 用 较 多 的 几 
种 技术 。 作 为 专门 介绍 VPN 技术 的 这 一 章 ， 先 介绍 VPN 技术 的 分 类 、 各 自 的 特点 以 及 
几 种 技术 的 对 比 , 然后 再 重点 介绍 GRE 和 L2TP VPN 两 种 技术 的 原理 、 应 用 场景 、 配 置 
方法 。 由 于 VPN 场景 下 防火 墙 安全 策略 配置 有 些 难度 ， 所 以 在 介绍 完 VPN 技术 之 后 再 
详细 讲解 一 下 安全 策略 的 配置 思路 。 

第 6 章 IPSecVPN 

IPSec 是 融合 了 加 密 、 验 证 以 及 密 钥 管 理 算法 的 隧道 技术 ， 非 常 复杂 。 本 章 从 最 简 
单 的 手工 方式 IPSec VPN 开始 介绍 ， 把 IPSec 涉及 的 各 种 概念 、 技 术 原 理 ， 应 用 场景 及 
配置 技巧 ， 由 浅 入 深 地 推送 到 读者 面前 。 考 虑 到 配置 IPSec 容易 出 现 错误 ， 为 此 本 章 最 
后 的 故障 处 理 一 节 用 于 帮助 用 户 调试 IPSec VPN。 

第 7 章 DSVPN 

DSVPN 是 采用 GRE 协议 实现 的 动态 VPN 技术 , 本 章 重点 介绍 了 DSVPN 中 静态 隧 
道 和 动态 隧道 的 建立 过 程 ， 让 读者 充分 感受 到 DSVPN 的 优越 之 处 和 巧妙 之 处 。 

第 8 章 SSL VPN 

SSL VPN 是 基于 HTTPS 的 VPN， 能 为 用 户 提供 4 大 功能 ， 包 括 文件 共享 、Web 代 
理 、 端 口 转发 、 网 络 扩展 。 本 章 依次 介绍 SSL 握手 以 及 4 种 功能 的 基本 原理 ， 最 后 讲解 
SSL VPN 的 用 户 管理 (角色 授权 ) 方法 和 4 种 功能 混用 时 的 设计 技巧 。 

第 9 章 ” 双 机 热 备 

防火 墙 双 机 热 备 功能 是 由 VRRP、VGMP、HRP 三 个 协议 共同 实现 的 ， 这 三 个 协议 
是 如 何 配合 实现 防火 墙 双 机 热 备 功能 的 呢 ? 为 了 让 广大 读者 充分 领悟 其 中 的 奥妙 ， 本 章 
从 路 由 器 双 机 原理 开始 介绍 ， 说 明 防 火 墙 的 双 机 热 备 的 高 深 之 处 ， 并 且 对 每 个 协议 的 价 
值 及 原理 按 需 展开 ， 徐 徐 渐进 ， 保 证 大 家 丝毫 没有 被 填 鸭 之 感 。 为 了 让 大 家 能 够 自如 应 
对 复杂 的 现 网 场景 ， 本 章 还 特别 描述 了 防火 墙 旁 路 场景 下 的 双 机 热 备 ，NAT 和 IPSec 场 
景 下 的 双 机 热 备 流量 分 析 及 配置 技巧 。 最 后 , 本 章 概要 介绍 了 第 三 代 双 机 热 备 的 改进 点 ， 
文字 不 多 但 句 句 切中 要 害 。 

第 10 章 ”出口 选 路 

出 口 网 关 是 防火 墙 最 常用 的 场景 ， 此 场景 要 求 防火 墙 必须 提供 多 出 口 选 路 的 能 力 。 
本 章 介绍 了 就 近 选 路 、 策 略 路 由 选 路 、 智 能 选 路 、DNS 选 路 4 种 选 路 方式 的 配置 技巧 。 


了 


前 3 
有 路 由 知识 基础 的 读者 ， 掌 握 本 章 非 常 容易 ， 缺 少 路 由 知识 基础 的 读者 也 不 用 担心 ， 防 
火 墙 用 到 的 路 由 知识 都 比较 简单 ， 按 本 章 给 出 的 思路 学 习 是 最 短路 径 。 


实战 篇 


第 11 章 ”防火墙 在 校园 网 中 的 应 用 

本 章 介 绍 了 防火 墙 作为 网 关 部 署 在 校园 网 出 口 的 方法 ， 为 校内 用 户 提供 宽带 服务 ， 
为 校外 用 户 提供 内 网 服务 器 访问 。 

第 12 章 防火墙 在 广电 网 络 中 的 应 用 

本 章 介绍 了 防火 墙 作 为 网 关 双 机 部 署 在 广电 网 络 的 Internet 出 口 的 方法 ， 为 广电 用 
户 提供 宽带 服务 ， 为 内 外 网 用 户 提供 服务 器 托管 业务 。 

第 13 章 ”防火墙 在 体育 场馆 网 络 中 的 应 用 

本 章 介绍 了 防火 墙 作为 网 关 双 机 部 署 在 体育 场馆 网 络 出 口 的 方法 ， 为 内 网 用 户 提供 
上 网 服务 ， 还 介绍 了 防火 墙 双 机 透明 部 署 在 内 部 数据 中 心 网 络 出 口 的 方法 ， 保 护 数 据 中 
心服 务 器 安全 。 

第 14 章 ”防火墙 在 企业 分 支 与 总 部 VPN 互通 中 的 应 用 

本 章 介 绍 了 防火 墙 作为 网 关 部 署 在 企业 分 支 和 总 部 网 络 出 口 的 方法 ， 为 分 支 和 总 部 
之 间 建 立 IPSec VPN， 保 证 分 支 访问 总 部 的 数据 在 Internet 上 安全 传输 。 


附录 


A ” 报 文 处 理 流程 

在 理论 篇 中 ， 强 叔 深入 地 介绍 了 安全 策略 、 攻 击 防范 、NAT、VPN、 路 由 等 功能 的 
实现 原理 。 读 者 学 习 之 后 会 有 种 然 开朗 的 感觉 但 开朗 之 后 会 有 一 个 新 的 问题 提出 来 一 一 
这 些 功能 在 防火 墙 内 部 的 处 理 顺 序 是 什么 ?处理 顺序 是 否 影响 这 些 功 能 的 配置 ? 回答 是 
肯定 的 。 在 多 功能 综合 应 用 场景 下 ， 不 了 解 防火 墙报 文 处 理 流程 的 人 非常 容易 遇 到 一 个 
问题 一 一 面 对 长 长 的 配置 脚本 找 不 出 问题 所 在 。 所 以 ， 本 章 虽 然 是 附录 ， 但 是 它 可 以 帮 
助 你 把 前 面 的 内 容 融 会 贯通 ， 理 清 思路 ， 在 迷茫 时 刻 能 够 发 现 蛛丝马迹 、 找 到 处 理 问 题 
的 方向 。 建 议 大 家 务必 阅读 ! 

B 证 书 浅 析 

IPSec VPN 和 SSL VPN 中 都 用 到 了 数字 证 书 , 强 叔 在 这 两 章 中 介绍 的 生成 密 钥 和 证 
书 的 方法 完全 不 一 样 。 大 家 不 要 太 奇 怪 ， 看 完 本 章 就 能 找到 答案 。 

C 强权 提问 及 答案 

给 出 每 章 的 强 叔 提问 的 答案 。 
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1.1 什么 是 防火 墙 


2013 年 9 月 ， 华 为 在 首届 企业 网 络 大 会 上 发 布 了 下 一 代 防 火 墙 USG6600， 标 志 着 
华为 防火 墙 进入 一 个 新 的 历史 发 展 阶段 。 

2013 年 12 月 ， 在 Forrester Research 最 新 发 布 的 网 络 隔离 网 关 报 告 中 ， 华 为 下 一 代 
防火 墙 作 为 唯一 被 提 及 的 中 国 厂商 ， 以 全 面 的 特性 支持 和 可 靠 的 质量 保证 ， 达 到 了 95% 
以 上 的 超 高 满足 度 ， 获 得 了 优秀 的 评价 。 

时 光 倒 回 至 2001 年 ， 华 为 发 布 了 第 一 款 防火 墙 插 卡 。 白 驹 过 阶 ， 至 今 已 经 13 年。 
13 年 来 ， 互 联网 经 历 着 不 可 预测 的 高 速 发 展 ， 而 华为 防火 墙 正 是 在 这 个 发 展 的 浪潮 中 乘 
风 破 浪 ， 逐 步 成 长 和 壮大 ， 今 天 仍然 在 不 断 超 越 。 

与 交换 机 、 路 由 器 相 比 ， 熟 悉 防 火 墙 的 读者 可 能 相对 较 少 。 作 为 网 络 中 安全 防护 的 
第 一 道 防线 ， 防 火 墙 扮演 着 重要 的 角色 ， 是 时 候 来 认识 一 下 这 位 网 络 安全 的 忠诚 守护 
者 了 。 

本 人 来 自 华为 防火 墙 研发 团队 ， 人 称 “ 强 叔 ?”， 曾 经 的 小 伙 ， 如 今 的 大 上 板 。 在 这 里 
结合 华为 的 防火 墙 及 安全 系列 产品 ， 跟 大 家 东 佩 件 防 火 墙 的 发 展 历史 和 关键 技术 ， 西 扯 
扯 防 火 墙 上 安全 特性 的 实现 原理 和 配置 方法 。 希 望 通过 强 叔 的 讲解 ， 能 让 防火 墙 深 深 地 
存在 各 位 网 络 工程 师 的 脑海 里 。 

下 面 ， 强 叔 就 从 “防火 墙 ” 一 词 讲 起 。 墙 ， 始 于 防 ， 忠 于 守 。 自 古 至 今 ， 墙 予 人 以 
安全 之 意 。 防 火 墙 ， 顾 名 思 义 ， 阻 挡 的 是 火 ， 这 一 名 词 起 源 于 建筑 领域 ， 其 作用 是 隔离 
火灾 ， 阻 止 火势 从 一 个 区 域 蔓延 到 另 一 个 区 域 。 

引入 到 通信 领域 , 防火 墙 也 形象 化 地 体现 了 这 一 特点 : 防火 墙 这 一 具体 的 网 络 设备 ， 
通常 用 于 两 个 网 络 之 间 的 隔离 。 当 然 ， 这 种 隔离 是 高 明 的 ， 隔 离 的 是 “ 火 ” 的 草 延 ， 而 
又 保证 “人 ”能 穿 墙 而 过 。 这 里 的 “ 火 ” 是 指 网 络 中 的 各 种 攻击 ， 而 “人 ”是 指正 常 的 
通信 报 文 。 

那么 ， 用 通信 语言 来 定义 ， 防 火 墙 主要 用 于 保护 一 个 网 络 免 受 来 自 另 一 个 网 络 的 攻 
击 和 入 侵 行为 。 因 其 隔离 、 防 守 的 属性 ， 防 火 墙 灵活 应 用 于 网 络 边界 、 子 网 隔离 等 位 置 ， 
如 企业 网 络 出 口 、 大 型 网 络 内 部 子 网 隔离 、 数 据 中 心 边界 等 ， 如 图 1-1 所 示 。 

通过 上 文 的 介绍 我 们 可 以 看 到 ， 防 火 墙 与 路 由 器 、 交 换 机 是 有 区 别 的 。 路 由 器 
用 来 连接 不 同 的 网 络 ， 通 过 路 由 协议 保证 互联 互通 ， 确 保 将 报 文 转 发 到 目的 地 ; 
交换 机 通常 用 来 组 建 局 域 网 ， 作 为 局 域 网 通信 的 重要 枢纽 , 通过 二 层 / 三 层 交 换 快 速 
转发 报 文 ; 防火 墙 主要 部 署 在 网 络 边 界 ， 对 进出 网 络 的 访问 行为 进行 控制 ， 安 全 防 
护 是 其 核心 特性 。 路 由 器 与 交换 机 的 本 质 是 转发 ， 防 火 墙 的 本 质 是 控制 ， 如 图 1-2 
所 示 。 

现 阶 段 中 低 端 路 由 器 与 防火 墙 有 合 一 趋势 ， 主 要 是 因为 二 者 形态 相似 ， 功 能 相近 ， 
华为 发 布 了 一 系列 这 样 的 中 低 端 设备 ， 如 USG2000/5000 系列 防火 墙 ， 兼 具 路 由 和 安全 
功能 ， 真 正 做 到 了 “all in one”。 

了 解 防火 墙 的 基本 概念 后 ， 接 下 来 强 叔 为 大 家 介绍 防火 墙 的 发 展 历史 。 
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互联 网 边界 防护 


A 
运 


企业 分 支 互联 _ 





大 型 数据 中 心 
1-1 防火 墙 部 署 场景 示意 图 





图 1-2 防火 墙 与 交换 机 、 路 由 器 对 比 


1.2 防火墙 的 发 展 历史 


上 一 节 为 大 家 介绍 了 防火 墙 的 基本 概念 ， 本 节 强 叔 要 和 大 家 聊 一 聊 防 火 墙 的 昨天 、 
今天 和 明天 ， 请 大 家 跟着 强 叔 来 回顾 防火 墙 的 发 展 历史 ， 展 望 防火 墙 的 美好 未 来 。 

与 人 类 的 进化 史 相 似 ， 防 火 墙 的 发 展 历史 也 经 历 了 从 低级 到 高 级 、 从 功能 简单 到 功 
能 复杂 的 过 程 ， 如 图 1-3 所 示 。 在 这 一 过 程 中 ， 网 络 技术 的 快速 发 展 、 新 需求 的 不 断 提 
出 ， 推 动 着 防火 墙 向 前 发 展演 进 。 

最 早 的 防火 墙 可 以 追溯 到 20 世纪 80 年 代 末 期 ， 距 今 已 有 二 十 多 年 的 历史 。 在 这 二 
十 多 年 间 ， 防 火 墙 的 发 展 过 程 大 致 可 以 划分 为 如 下 3 个 时 期 。 


华为 防火 墙 技术 漫谈 






1.2.1 


1989 1994 1995 2004 200s 2009 


访问 控制 … 代 理 技术 会 话机 制 … 专 用 设备 多 功能 到 加 -…DPI 技术 … 基 于 用 户 + 应 用 + 内 容 进行 管控 


A 





图 1-3 防火 墙 发 展 历 史 


1989 年 至 1994 年 


防火 墙 在 这 一 个 时 期 的 大 事件 主要 包括 以 下 几 个 。 


1989 年 产生 了 包 过 滤 防 火 墙 ， 能 实现 简单 的 访问 控制 ， 我 们 称 之 为 第 一 代 防 
火 墙 。 

随后 出 现 了 代理 防火 墙 , 在 应 用 层 代理 内 部 网 络 和 外 部 网 络 之 间 的 通信 , 属于 第 
二 代 防 火 墙 。 代理 防火 墙 的 安全 性 较 高 , 但 处 理 速 度 慢 , 而 且 对 于 每 一 种 应 用 都 
要 开发 一 个 对 应 的 代理 服务 是 很 难 做 到 的 ， 因 此 只 能 对 少量 的 应 用 提供 代理 
支持 。 

1994 年 CheckPoint 公司 发 布 了 第 一 台 基 于 状态 检测 技术 的 防火 墙 ， 通 过 动态 分 
析 报 文 的 状态 来 决定 对 报 文 采取 的 动作 , 不 需要 为 每 个 应 用 程序 都 进行 代理 ， 处 
理 速度 快 而 且 安 全 性 高 。 状 态 检测 防火 墙 被 称 为 第 三 代 防 火 墙 。 


[0 说 明 


CheckPoint 是 以 色 列 的 一 家 安全 厂商 。 


1.2.2 


1995 年 至 2004 年 


防火 墙 在 这 一 个 时 期 的 大 事件 主要 包括 以 下 几 个 。 


状态 检测 防火 墙 已 经 成 为 趋势 , 除了 访问 控制 功能 之 外 , 防火 墙 上 也 开始 增加 一 
些 其 他 功能 ， 如 VPN (Virtual Private Network， 虚 拟 专 用 网 )。 

同时 ， 一 些 专用 设备 在 这 一 时 期 出 现 了 雏形 。 例 如， 专门 保护 Web 服务 器 安全 
的 WAF (Web Application Firewall，Web 应 用 防火 墙 ) 设备 。 

2004 年 业界 提出 了 UTM (United Threat Management， 统 一 威胁 管理 ) 的 概念 ， 
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将 传统 防火 墙 、 入 侵 检测 、 防 病毒 、URL 过 滤 、 应 用 程序 控制 、 邮 件 过 滤 等 功 
能 融合 到 一 台 防 火 墙 上 ， 实 现 全 面 的 安全 防护 。 


1.2.3 ”2005 年 至 今 


防火 墙 在 这 一 个 时 期 的 大 事件 主要 包括 以 下 几 个 。 

。 2004 年 后 ，UTM 市 场 得 到 了 快速 的 发 展 ，UTM 产品 如 雨后春笋 般 涌 现 ， 但 面 
临 新 的 问题 。 首 先是 针对 应 用 层 信息 的 检测 程度 受到 限制 。 举 个 例子 ， 假 设防 火 
墙 允许 “男人 ”通过 ， 拒 绝 “ 女 人” 通过， 那 是 否 允 许 来 自 星星 的 都 教授 〈 外 星 
人 ) 通过 呢 ? 此 时 就 需要 更 高 级 的 检测 手段 ， 这 使 得 DPI (Deep Packet Inspection， 
深度 报 文 检 测 ) 技术 得 到 广泛 应 用 。 其 次 是 性 能 问题 ， 多 个 安全 功能 同时 运行 ， 
UTM 设备 的 处 理性 能 将 会 严重 下 降 。 

e 2008 年 Palo Alto Networks 公司 发 布 了 下 一 代 防 火 墙 (Next-Generation Firewall)， 
解决 了 多 个 功能 同时 运行 时 性 能 下 降 的 问题 。 同时 , 下 一 代 防 火 墙 还 可 以 基于 用 
户 、 应 用 和 内 容 来 进行 管控 。 

。 2009 年 Gartner 对 下 一 代 防 火 墙 进行 了 定义 ， 明 确 下 一 代 防 火 墙 应 具备 的 功能 特 
性 。 随 后 各 个 安全 厂商 都 推出 了 各 自 的 下 一 代 防 火 墙 产品 , 防火墙 进入 了 一 个 新 
的 时 代 。 


[0 说 明 

Palo Alto Networks 是 美国 的 一 家 安全 厂商 ， 率 先 推出 了 下 一 代 防 火 墙 ， 是 下 一 代 防 火 墙 的 
开山 鼻祖 。 

Gartner 是 著名 的 IT 研究 与 顾问 咨询 公司 ， 众 所 周知 的 魔力 象限 就 出 自 Gartner。2013 年 华 
为 成 为 首 家 进入 Gartner 防火 墙 和 UTM 魔力 象限 的 中 国 厂 商 ， 充 分 证 明了 华为 安全 产品 的 
实力 。 


1.2.4 总 结 


从 防火 墙 的 发 展 历史 中 我 们 可 以 看 到 以 下 3 个 最 主要 的 特点 。 

。 第 一 点 是 防火 墙 的 访问 控制 越 来 越 精确 。 从 最 初 的 简单 访问 控制 ,到 基于 会 话 的 
访问 控制 ， 再 到 下 一 代 防 火 墙 上 基于 用 户 、 应 用 和 内 容 来 进行 访问 控制 ， 都 是 为 
了 实现 更 有 效 更 精确 的 管控 。 

。 第 二 点 是 防火 墙 的 防护 能 力 越 来 越 强 。 从 早期 的 隔离 功能 , 到 逐渐 增加 了 入 侵 检 
测 、 防 病毒 、URL 过 滤 、 应 用 程序 控制 、 邮 件 过 滤 等 功能 ， 防 护 手段 越 来 越 多 ， 
防护 的 范围 也 越 来 越 广 。 

。 第 三 点 是 防火 墙 的 处 理性 能 越 来 越 高 。 随 着 网 络 中 业务 流量 爆炸 式 增长 , 对 防火 
墙 性 能 的 需求 也 越 来 越 高 。 各 个 厂商 不 断 地 对 防火 墙 的 硬件 和 软件 架构 进行 改进 
和 完善 ， 使 防火 墙 的 处 理性 能 不 断 提高 。 

下 一 代 防 火 墙 并 不 是 终结 ， 网 络 发 展 日 新 月 异 ， 新 技术 、 新 需求 不 断 涌现 ， 也 许 用 

不 了 几 年 ， 防 火 墙 会 变 得 更 加 高 级 和 智能 ， 也 更 容易 管理 和 配置 ， 让 我 们 拭目以待 。 
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1.3 ”华为 防火 墙 产品 一 


在 上 节 中 ， 强 叔 和 大 家 聊 了 防火 墙 的 发 展 历史 。 经 过 二 十 多 年 的 发 展演 变 ， 防 火 墙 


的 功能 越 来 越 强 ， 性 能 越 来 越 高 。 华 为 的 防火 墙 产品 同样 经 历 了 从 无 到 有 有、 逐步 壮大 的 
过 程 。 在 十 几 年 的 时 间 中 ， 华 为 防火 墙 始终 坚韧 前 行 




















前 行 ， 勇 于 创新 ， 不 断 突 破 ， 取 得 了 一 
个 又 一 个 辉煌 成 绩 ， 如 图 1-4 所 示 。 
foumnded 国 区 玉 wp 
网 络 安全 ”| 业界 首 款 。 | 业界 首 款 业界 首 家 | 全 系列 。 | 业界 首 款 | NGFW 
产品 线 成 “| NP 架构 防 | 百 G 防火 防火 墙 支 | UTM 上 市 | 工 级 防火 | 发 布 
立 火 二 墙 持 双 主 控 墙 
合资 赛 站 国内 首 家 IDC 中 国 国内 首 家 同 
.| 铁 克成 立 。。。 营 - | 防火 墙 通 意 1C | 市 场 安全 。 Gartner | 时 进入 
华 赛 子 公 过 ICSA 认 硬件 份额 Gartner 防火 
司 第 一 墙 与 UIM 魔 
术 象限 


图 1-4 华为 防火 墙 发 展 历程 


今天 强 叔 就 和 大 家 侦 一 侃 华为 的 防火 墙 产品 ， 带 着 大 家 纵览 华为 防火 墙 全 系列 产 


品 ， 围 观 明星 产品 。 耳 听 为 虚 眼 见 为 实 ， 先 上 一 张 华为 防火 墙 全 家 福 ， 请 大 家 先睹为快 ， 
如 图 1-5 所 示 。 








“USG21002200 ” 低 






USG5100/5500 
高 


USG9000 USG6300/6600 


图 1-5 华为 防火 墙 全 家 福 


华为 防火 墙 产品 主要 包括 USG2000、USG5000、USG6000 和 USG9000 四 大 系列 
涵盖 低 、 中 、 高 端 设备 ， 型 号 齐全 、 功 能 丰富 ， 完 全 能 够 满足 各 种 网 络 环境 的 需求 。 
其 中 ，USG2000 和 USG5000 系列 定位 于 UTM 产品 ，USG6000 系列 属于 下 一 代 防 


火 墙 产 品 ，USG9000 系列 属于 高 端 防火 墙 产 品 。 下 面 强 叔 就 挑 出 几 个 有 代表 性 的 防火 墙 
产品 为 大 家 逐一 介绍 。 
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1.3.1 USG2110 产品 介绍 


首先 出 场 的 是 小 盒子 USG2110， 如 图 1-6 所 示 。 别 看 它 个 头 小 ， 功 能 可 不 差 。 
USG2110 集 防 火 墙 \、UTM、VPN 路 由 、 无 线 (WIFI/3G) 

等 十 八 般 武艺 于 一 身 ， 即 插 即 用 ,配置 方便 ,为 用 户 提供 安 

全 、 灵 活 、 便 捷 的 一 体 化 组 网 和 接 入 解决 方案 。 
USG2110 物美 价 廉 ， 在 节省 用 户 投 资 的 同时 ， 能 有 效 

降低 运 维 成 本 ， 是 中 小 企业 、 连 锁 机 构 、SOHO 企业 之 必 备 

神器 。 图 1-6 USG2110 外 观 


1.3.2 ”USG6600 产品 介绍 








接 下 来 出 场 的 是 超 高 人 气 产品 USG6600， 如 图 1-7 所 示 。 它 出 身 于 USG6000 家 族 ， 
作为 华为 面向 下 一 代 网 络 环境 的 防火 墙 产 品 ，USG6600 提供 以 应 用 层 威胁 防护 为 核心 的 
下 一 代 网 络 安全 服务 ， 让 网 络 管理 员 能 够 完全 掌控 网 络 ， 看 得 更 清 、 管 得 更 细 、 用 得 

5 更 易 。 

说 它 人 气 超 高 一 点 也 不 为 过 ，IT 风云 榜 
CIO 信赖 优秀 产品 、IT168 年 度 技术 卓越 奖 、 
《网 络 世界 》NGFW 横向 测评 多 项 第 一 等 。 
USG6600 发 布 后 就 获得 了 各 个 方面 的 关注 和 

图 1-7 USG6600 外 观 好 评 ， 足 以 证 明 它 的 超 高 人 气 。 

要 说 起 USG6600 的 优点 ， 那 可 是 滔滔 不 绝 : 最 精准 的 应 用 访问 控制 、6000+ 应 用 识 
别 、 多 种 用 户 认 证 技术 、 全 面 的 未 知 威胁 防护 、 最 简单 的 安全 管理 、 最 高 的 全 业务 性 能 
体验 …… 根 本 停 不 下 来 ! 


1.3.3 ”USG9500 产品 介绍 











最 后 登场 的 是 大 块头 USG9500， 隶 属于 USG9000 家 族 ， 如 图 1-8 所 示 。 大 块头 有 
大 智慧 ， 大 体格 有 大 心脏 。 作 为 业界 首 款 
T 级 数据 中 心 防火 墙 ，USG9500 成 功 通过 
业界 权威 第 三 方 安全 测评 机 构 美国 NSS 实 
验 室 的 测试 ， 获 评 为 业界 最 快 的 防火 墙 ! 
USG9500 采用 分 布 式 软 硬 件 设 计 ， 融 
合 了 多 种 行业 领先 的 专业 安全 技术 ， 在 大 
型 数据 中 心 、 大 型 企业 、 教 育 、 政 府 、 广 sd 
电 等 行业 得 到 了 广泛 应 用 。 USG9520 USG9560 USG9580 
天 下 武功 ， 唯 快 不 破 。 在 以 高 速 网 络 图 1-8 USG9500 外 观 
为 基石 的 云 计 算 时 代 ，USG9500 系列 作为 华为 最 高 端的 防火 墙 产 品 ， 如 姐 石 屹立 不 倒 ， 
似 大 海 容纳 百川 ， 轻 松 应 对 海量 访问 和 数据 洪流 。 至 强 性 能 打 千 斤 重 担 ， 应 “ 云 ” 而 生 
保 万 全 之 策 ， 这 正 是 USG9500 系列 产品 的 真实 写照 。 
通过 上 面 的 介绍 ， 强 叔 带 着 大 家 认识 了 几 款 华为 防火 墙 产 品 ， 大 家 看 过 之 后 是 不 是 
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感觉 意犹未尽 呢 ? 其 实 除了 这 几 个 产品 之 外 ， 华 为 公司 还 有 多 款 防火 墙 产 品 ， 如 需 进 一 
步 了 解 华为 防火 墙 产品 ， 请 访问 华为 企业 业务 网 站 ， 相 信 大 家 会 有 更 多 的 收获 。 


1.4 安全 区 域 


前 面 强 叔 和 大 家 聊 了 防火 墙 的 概念 和 发 展 历 史 ， 并 为 大 家 介绍 了 华为 的 防火 墙 产 
品 ， 相 信 大 家 对 防火 墙 已 经 有 了 一 个 初步 的 认识 。 从 本 节 开 始 ， 强 叔 将 为 大 家 讲解 防火 
墙 的 技术 知识 ， 继 续 探究 防火 墙 的 精彩 世界 。 


1.4.1 接口、 网 络 和 安全 区 域 的 关系 


在 “什么 是 防火 墙 ” 一 节 中 我 们 提 到 ， 防 火 墙 主要 部 署 在 网 络 边界 起 到 隔离 的 作用 ， 
那么 在 防火 墙 上 如 何 来 区 分 不 同 的 网 络 呢 ? 

为 此 ， 我 们 在 防火 墙 上 引入 了 一 个 重要 的 概念 : 安全 区 域 (Security Zone)， 简 称 为 
区 域 (Zone)。 安 全 区 域 是 一 个 或 多 个 接口 的 集合 ， 防火墙 通过 安全 区 域 来 划分 网 络 、 
标识 报 文 流动 的 “路 线 ”。 一 般 来 说 ， 当 报 文 在 不 同 的 安全 区 域 之 间 流 动 时 才 会 受到 
控制 。 


DO 说 明 

上 默认 情况 下 ， 报 文 在 不 同 的 安全 区 域 之 间 流 动 时 受到 控制 ， 报 文 在 同一 个 安全 区 域 
内 流动 时 不 受 控制 。 但 华为 防火 墙 也 支持 对 同一 个 安全 区 域内 流动 的 报 文 控制 。 这 里 
所 说 的 控制 是 通过 “规则 ”也 叫 作 “安全 策略 ”来 实现 的 ， 具 体内 容 我 们 将 在 第 2 章 
《安全 策略 》 中 介绍 。 


我 们 都 知道 ， 防 火 墙 通过 接口 来 连接 网 络 ， 将 接口 划分 到 安全 区 域 后 ， 通 过 接口 就 
能 把 安全 区 域 和 网 络 关 联 起 来 。 通 常 说 某 个 安全 区 域 ， 也 可 以 表示 该 安全 区 域 中 接口 所 
连接 的 网 络 。 接 口 、 网 络 和 安全 区 域 的 关系 如 图 1-9 所 示 。 





图 1-9 接口 、 网 络 和 安全 区 域 的 关系 
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八 注意 


在 华为 防火 墙 上 ， 一 个 接口 只 能 加 入 到 一 个 安全 区 域 中 。 


通过 把 接口 划分 到 不 同 的 安全 区 域 中 ， 就 可 以 在 防火 墙 上 划分 出 不 同 的 网 络 。 如 
图 1-10 所 示 ， 我 们 把 接口 1 和 接口 2 划分 到 
安全 区 域 A 中 ， 把 接口 3 划分 到 安全 区 域 B 
中 ， 把 接口 4 划分 到 安全 区 域 C 中 ， 这 样 
在 防火 墙 上 就 存在 三 个 安全 区 域 ， 对 应 三 
个 网 络 。 
华为 防火 墙 上 已 经 默认 为 大 家 提供 三 
个 安全 区 域 ,分 别 是 TrustDMZ 和 Untrust。 
光 从 名 字 看 就 知道 这 三 个 安全 区 域 很 有 内 
涵 ， 下 面 强 叔 就 为 大 家 逐一 介绍 。 
e Trust 区 域 。 该 区 域内 网 络 的 受信 
任 程度 高 ， 通 常用 来 定义 内 部 用 户 所 在 的 网 络 。 
。 DMZ 区 域 。 该 区 域内 网 络 的 受信 任 程度 中 等 ， 通 常用 来 定义 内 部 服务 器 所 在 的 
网 络 。 
。 Untrust 区 域 。 该 区 域 代表 的 是 不 受信 任 的 网 络 , 通常 用 来 定义 Internet 等 不 安全 
的 网 络 。 


[0 说 明 

DMZ ( Demilitarized Zone ) 是 一 个 军事 术语 ， 是 介 于 严格 的 军事 管制 区 和 松散 的 公共 
区 域 之 间 的 管制 区 域 。 防 火 墙 引用 了 这 一 术语 ， 指 代 一 个 受信 任 程度 处 于 内 部 网 络 和 
外 部 网 络 之 间 的 安全 区 域 。 





图 1-10 将 接口 划分 到 安全 区 域 


在 网 络 数量 较 少 、 环 境 简单 的 场合 ， 使 用 默认 提供 的 安全 区 域 就 可 以 满足 划分 网 络 
的 需求 。 如 图 1-11 所 示 ， 假 设 接口 1 和 接 
口 2 连接 的 是 内 部 用 户 ， 那 我 们 就 把 这 两 
个 接口 划分 到 Trust 区 域 中 ; 接口 3 连接 的 
是 内 部 服务 器 , 将 它 划 分 到 DMZ 区 域 ; 接 
口 4 连接 Internet， 将 它 划分 到 Untrust 区 
域 。 当 然 ， 在 网 络 数量 较 多 的 场合 ， 还 可 
以 根据 需要 创建 新 的 安全 区 域 。 

由 此 我 们 可 以 描述 处 于 不 同 网 络 的 用 
户 互 访 时 报 文 在 防火 墙 上 所 走 的 路 线 。 例 
如 ， 当 内 部 网 络 中 的 用 户 访问 Internet 时 ， 
报 文 在 防火 墙 上 的 路 线 是 从 Trust 区 域 到 Untrust 区 域 ， 当 Internet 上 的 用 户 访问 内 部 服 
务 器 时 ， 报 文 在 防火 墙 上 的 路 线 是 从 Untrust 区 域 到 DMZ 区 域 。 

除了 在 不 同 网 络 之 间 流 动 的 报 文 之 外 ， 还 存在 从 某 个 网 络 到 达 防 火 墙 本 身 的 报 文 





图 1-11 将 接口 划分 到 默认 的 安全 区 域 
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〈 例 如 我 们 登录 到 防火 墙 上 进行 配置 )， 以 及 从 防火 墙 本 身 发 出 的 报 文 。 如 何在 防火 墙 上 
标识 这 类 报 文 的 路 线 呢 ? 

如 图 1-12 所 示 ， 防 火 墙 上 提供 Local 
区 域 ， 代 表 防 火 墙 本 身 。 凡 是 由 防火 墙 主动 
发 出 的 报 文 均 可 认为 是 从 Local 区 域 中 发 
出 ， 凡 是 需要 防火 墙 响应 并 处 理 〈 而 不 是 转 
发 ) 的 报 文 均 可 认为 是 由 Local 区 域 接收 。 

关于 Local 区 域 ， 强 叔 还 要 再 提醒 一 
名, Local 区 域 中 不 能 添加 任何 接口 , 但 防 
火 墙 上 所 有 接口 本 身 都 隐 含 属于 Local 区 
域 。 也 就 是 说 ， 报 文通 过 接口 去 往 某 个 网 
络 时 ， 目 的 安全 区 域 是 该 接口 所 在 的 安全 区 域 ， 报 文通 过 接口 到 达 防 火 墙 本 身 时 ， 目 的 
安全 区 域 是 Local 区 域 。 这 样 既 可 以 使 每 个 接口 连接 的 其 他 设备 能 够 访问 防火 墙 自身 ， 
也 能 更 明确 Local 区 域 和 各 个 安全 区 域 的 域 间 关系 ， 可 谓 一 举 两 得 。 


1.4.2 ” 报 文 在 安全 区 域 之 间 流 动 的 方向 


前 面 介 绍 过 ， 不 同 的 网 络 受信 任 的 程度 不 同 ， 在 防火 墙 上 用 安全 区 域 来 表示 网 络 后 ， 
怎么 来 判断 一 个 安全 区 域 的 受信 任 程 度 呢 ? 在 华为 防火 墙 上 ， 每 个 安全 区 域 都 必须 有 一 个 
安全 级 别 ， 该 安全 级 别 是 唯一 的 ， 用 1 一 100 的 数字 表示 ， 数 字 越 大 ， 则 代表 该 区 域内 的 网 
络 越 可 信 。 对 于 默认 的 安全 区 域 , 它们 的 安全 级 别 是 固定 的 : Local 区 域 的 安全 级 别 是 100， 
Trust 区 域 的 安全 级 别 是 85，DMZ 区 域 的 安全 级 别 是 50，Untrust 区 域 的 安全 级 别 是 5。 

级 别 确定 之 后 ， 安 全 区 域 就 被 分 成 了 三 六 九 等 ， 高 低 有 别 。 报 文 在 两 个 安全 区 域 之 
间 流 动 时 ， 我 们 规定 : 报 文 从 低级 别 的 安全 区 域 向 高 级 别 的 安全 区 域 流动 时 为 入 方向 
(Inbound), 报 文 从 由 高 级 别 的 安全 区 域 向 低级 别 的 安全 区 域 流动 时 为 出 方向 (Outbound)。 
图 1-13 标明 了 Local 区 域 、Trust 区 域 、DMZ 区 域 和 Untrust 区 域 间 的 方向 。 





1-12 Local 安全 区 域 


Outbound 





Outbound 
1-13” 报 文 在 安全 区 域 之 间 流 动 的 方向 
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通过 设置 安全 级 别 ， 防 火 墙 上 的 各 个 安全 区 域 之 间 有 了 等 级 明确 的 域 间 关系 。 不 同 
的 安全 区 域 代表 不 同 的 网 络 ， 防 火 墙 成 为 连接 各 个 网 络 的 节点 。 以 此 为 基础 ， 防 火 墙 就 
可 以 对 各 个 网 络 之 间 流 动 的 报 文 实施 管控 。 

防火 墙 如 何 判断 报 文 在 哪 两 个 安全 区 域 之 间 流 动 呢 ? 首先 ， 源 安全 区 域 很 容易 确 
定 ， 防 火 墙 从 哪个 接口 接收 到 报 文 ， 该 接口 所 属 的 安全 区 域 就 是 报 文 的 源 安 全 区 域 。 

确定 目的 安全 区 域 时 分 两 种 情况 。 三 层 模式 下 ， 防 火 墙 通过 查找 路 由 表 确定 报 文 将 
要 从 哪个 接口 发 出 ， 该 接口 所 属 的 安全 区 域 就 是 报 文 的 目的 安全 区 域 ， 二 层 模式 下 ， 防 
火 墙 通过 查找 MAC 地 址 转发 表 确 定 报 文 将 要 从 哪个 接口 发 出 ， 该 接口 所 属 的 安全 区 域 
就 是 报 文 的 目的 安全 区 域 。 源 安全 区 域 和 目的 安全 区 域 确定 后 ， 就 可 以 知道 报 文 是 在 哪 
两 个 安全 区 域 之 间 流 动 了 。 

另外 还 有 一 种 情况 ， 在 VPN 场景 中 ， 防 火 墙 收 到 的 是 封装 的 报 文 ， 将 报 文 解 封装 
后 得 到 原始 报 文 ， 然 后 还 是 通过 查找 路 由 表 来 确定 目的 安全 区 域 ， 报 文 将 要 从 哪个 接口 
发 出 ， 该 接口 所 属 的 安全 区 域 就 是 报 文 的 目的 安全 区 域 。 

而 源 安全 区 域 不 能 简单 地 根据 收 到 报 文 的 接口 来 确定 ， 此 时 防火 墙 会 采用 “ 反 上 向 
查找 路 由 表 ” 的 方式 来 确定 原始 报 文 的 源 安全 区 域 。 具 体 来 说 ， 防 火 墙 会 把 原始 报 文 
中 的 源 地 址 假设 成 是 目的 地 址 ， 然 后 通过 查找 路 由 表 确 定 这 个 目的 地 址 的 报 文 将 要 从 
哪个 接口 发 出 ， 该 接口 所 属 的 安全 区 域 是 报 文 将 要 去 往 的 安全 区 域 。 反 过 来 说 ， 报 文 
也 就 是 从 该 安全 区 域 发 出 的 ， 所 以 反 查 路 由 表 得 到 的 这 个 安全 区 域 就 是 报 文 的 源 安 全 
区 域 。 

确定 报 文 的 源 和 目的 安全 区 域 是 我 们 精确 地 配置 安全 策略 的 前 提 条 件 ， 请 大 家 一 定 
要 掌握 判断 报 文 的 源 和 目的 安全 区 域 的 方法 ， 本 书后 面 的 章节 中 在 配置 安全 策略 的 时 候 
也 会 提 到 这 一 点 。 


1.4.3 ”安全 区 域 的 配置 


安全 区 域 的 配置 主要 包括 创建 安全 区 域 以 及 将 接口 加 入 安全 区 域 ， 下 面 给 出 了 创建 
一 个 新 的 安全 区 域 test, 然后 将 接口 GE0/0/1 加 入 该 安全 区 域 的 过 程 。 接口 GE0/0/1 可 以 
工作 在 三 层 模 式 也 可 以 工作 在 二 层 模 式 。 

配置 命令 非常 简单 ， 唯 一 需要 注意 的 是 ， 新 创建 的 安全 区 域 是 没有 安全 级 别 的 ， 我 
们 必须 为 其 设置 安全 级 别 ， 然 后 才能 将 接口 加 入 安全 区 域 。 当 然 ， 鉴 于 安全 级 别 的 唯一 
性 ， 设 置 的 安全 级 别 不 能 和 已 经 存在 的 安全 区 域 的 级 别 相同 。 
// 创 建安 全 区 域 test 
ls ”将 安全 级 别 设置 为 0 9 

np i “1/ 将 接口 GE0/011 加 入 安全 区 域 

前 面 我 们 介绍 的 都 是 将 物理 接口 加 入 安全 区 域 的 内 容 ， 除 了 物理 接口 ， 防火 墙 还 支 
持 逻 辑 接口 ， 如 子 接口 、VLANIF 接口 等 ,这些 逻辑 接口 在 使 用 时 也 需要 加 入 安全 区 域 。 
下 面 给 出 了 将 子 接口 和 VLANIF 接口 加 入 安全 区 域 的 示例 。 

如 图 1-14 所 示 ，PC A 和 PC B 属于 不 同 的 子 网 ， 交 换 机 上 通过 两 个 VLAN 将 PCA 
和 PC B 所 属 的 子 网 隔离 ， 交 换 机 连接 到 防火 墙 的 接口 GE0/0/1 上 。 对 于 防火 墙 来 说 ， 
这 种 组 网 是 典型 的 “ 单 辟 ”环境 。 
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这 种 情况 下 ， 防 火 墙 的 一 个 接口 连接 BGA 
了 两 个 子 网 ， 如 果 想 为 这 两 个 子 网 设 定 不 192.168.10.2/24 
同 的 安全 级 别 , 即 需 要 将 PCA 和 PCB 划 [ 
分 到 不 同 的 安全 区 域 。 该 如 何 配置 呢 ? 因 
为 防火 墙 上 一 个 接口 只 能 加 入 到 一 个 安全 
区 域 中 ， 所 以 不 能 简单 地 把 接口 GE0/0/1 
加 入 到 某 个 安全 区 域 ， 此 时 可 以 通过 子 接 
口 或 VLANIF 接口 来 实现 这 个 需求 。 

先 来 看 一 下 子 接口 的 实现 情况 。 我 们 A 
在 接口 GE0/0/1 下 创建 两 个 子 接口 192168 多 224 
GE0/0/1.10 和 GE0/0/1.20, 分 别 对 应 VLAN 
10 和 VLAN 20, 然 后 将 这 两 个 子 接口 划分 。” 图 14 防火 墙 的 一 个 接口 连接 多 个 对 网 
到 不 同 的 安全 区 域 ， 而 接口 GE0/0/1 不 用 加 入 安全 区 域 ， 即 可 实现 将 PC A 和 PC B 划分 
到 不 同安 全 区 域 的 目的 ， 如 图 1-15 所 示 。 


GEO/0/1 








PCA 
192.168.10.2/24 










GEO/0/1 


£3 GEO0/0/1.10 


$3 GE0/0/1.20 


PCB 
192.168.20.2/24 


图 1-15 将 子 接口 划分 到 安全 区 域 
其 具体 配置 如 下 。 


[FW)] interface GigabitEthernet 0/0/1.10 
[FW-GigabitEthernet0/0/1.10] vlan-type dotlq 10 
[FW-GigabitEthermnet0/0/1.10] ip address 192.168. 10. ， 24 
[FW-GigabitEthernet0/0/1.10] quit 
[FW] interface GigabitEthernet 0/0/1.20 
[FW-GigabitEthernet0/0/1.20] vlan-type dotlq 20 
[FW-GigabitEthernet0/0/1.20] ip address 192.168.20.1 24 
[FW-GigabitEthernet0/0/1.20] quit 
[FEW] firewall zone name trust1 
[FW-zone-trust1] set priority 10 
[FW-zone-trust1] add interface GigabitEthernet 0/0/1.10 
[FW-zone-trust1] quit 。 
[FW] firewall zone name trust2 
[FW-zone-trust2] set priority 20 
[FW-zone-trust2] add interface Ne ol. 20 
[FW-zone-trust2] quit 、 


完成 上 述 配 置 后 , PC A 被 划分 到 Trustl 安全 区 域 PCB 被 划分 到 Trust2 安全 区 域 
此 时 就 可 以 对 PC A 访问 PC B 的 报 文 进行 控制 。 
接 下 来 看 一 下 VLANIF 接口 的 实现 情况 。 还 是 图 1-14 所 示 的 组 网 环境 ， 我 们 可 以 
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在 防火 墙 上 创建 两 个 VLAN 并 为 各 自 的 VLANIF 接口 配置 IP 地 址 ， 然 后 配置 接口 
GE0/0/1 工作 在 二 层 模 式 ( 透 明 模 式 )， 人 允许 VLAN 10 和 VLAN 20 的 报 文通 过 。 将 
VLANIF10 和 VLANIF20 划分 到 不 同 的 安全 区 域 ， 而 接口 GE0/0/1 不 用 加 入 安全 区 域 ， 
即 可 实现 将 PC A 和 PC B 划分 到 不 同安 全 区 域 的 目的 ， 如 图 1-16 所 示 。 










192.168.10.2/24 GEO0/0/1 


了 } VLANIF10 









-yy: r+: VLANIF20 


PCB 防火 墙 


192.168.20.2/24 


图 1-16 将 VLANIF 接口 划分 到 安全 区 域 
其 具体 配置 如 下 。 


[FWJvian10 


[FW-vlan-20]quit 
[FW] interface Vlanif 20 
[FW-Vlanif20] quit 2 
[FW] interface GigabitEthernet 0/0/1 
[FW-GigabitEthernet0/0/1] portswitch 
[FW-GigabitEthemet0/0/1] port link-type trunk 
[FW-GigabitBthemetO/0/1] port trunk permit vlan 1020 
~ [FW-GigabitEthernet0/0/1] quit 
[FW] firewall zone name trustl 
[FW-zone-trust1] set priority 10 
[FW-zone-trust1] add interface Vlanif 10 
[FW-zone-trust1] quit 
[FW] firewall zone name trust2 
[FW-zone-trust2] set priority 20 
[FW-zone-trust2] add interface Vlanif 20 
{FW-zone-trust2] quit 


完成 上 述 配 置 后 , PC A 被 划分 到 Trustl 安全 区 域 , PC B 被 划分 到 Trust2 安全 区 域 ， 
此 时 就 可 以 对 PC A 访问 PC B 的 报 文 进行 控制 。 

上 面 介绍 了 子 接口 和 VLANIF 接口 加 入 安全 区 域 的 例子 ,除了 这 两 个 逻辑 接口 之 外 ， 
防火 墙 还 支持 其 他 逻辑 接口 ， 如 GRE (Generic Routing Encapsulation， 通 用 路 由 封装 ) 
中 用 到 的 Tunnel 接口 、L2TP (Layer Two Tunneling Protocol， 二 层 隧道 协议 ) 中 用 到 的 
Virtual-Template 接口 等 ， 这 些 逻 辑 接口 在 使 用 时 也 需要 加 入 安全 区 域 ， 我 们 将 在 后 面 
GRE 和 L2TP 的 相应 章节 中 介绍 。 

到 这 里 ， 安 全 区 域 的 概念 和 配置 就 介绍 完了 。 希 望 通过 强 叔 的 介绍 ， 可 以 让 大 家 
了 解 安 全 区 域 的 作用 ， 掌 握 安 全 区 域 之 间 的 关系 ， 为 后 面 进一步 学 习 防 火 墙 知识 打 好 
基础 。 
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1.5 ”状态 检测 和 会 话机 制 


在 1.2 节 “防火 墙 的 发 展 历史 ”一 节 中 , 我 们 提 到 了 第 三 代 防 火 墙 ， 也 就 是 状态 检测 防 
火 墙 。 状 态 检 测 防火 墙 的 出 现 是 防火 墙 发 展 历 史上 里 程 碑 式 的 事件 ， 而 其 所 使 用 的 状态 
检测 和 会 话机 制 ， 目 前 已 经 成 为 防火 墙 产品 的 基本 功能 ， 也 是 防火 墙 实现 安全 防护 的 基 
础 技术 。 今 天 ， 强 叔 就 和 大 家 来 聊 一 聊 状 态 检 测 和 会 话机 制 。 


1.5.1 ”状态 检测 


首先 ， 我 们 从 状态 检测 防火 墙 产 生 的 背景 说 起 。 请 大 家 先 看 一 个 简单 的 网 络 环境 ， 
如 图 1-17 所 示 ，PC 和 Web 服务 器 位 于 不 同 的 网 络 ， 分 别 与 防火 墙 相 连 ，PC 与 Web 服 
务 器 之 间 的 通信 受到 防火 墙 的 控制 。 





1-17 PC 访问 Web 服务 器 组 网 示意 图 


当 PC 需要 访问 Web 服务 器 浏览 网 页 时 ， 在 防火 墙 上 必须 配置 表 1-1 给 出 的 编号 为 
1 的 一 条 “规则 ”允许 PC 访问 Web 服务 器 的 报 文通 过 。 这 里 所 说 的 “规则 ” 其实 指 
的 就 是 防火 墙 上 的 安全 策略 。 只 不 过 本 节 重 点 讲解 状态 检测 和 会 话机 制 ， 安 全 策略 不 是 
重点 ， 所 以 使 用 “规则 ”来 简化 描述 ， 便 于 大 家 理解 。 关 于 安全 策略 的 内 容 我 们 将 在 
第 2 章 《 安 全 策略 》 中 详细 介绍 。 





一 2 二 
| 192168.01 | ANY | 172.16.0.1 | ”80 ”| 允许 通过 


在 这 条 规则 中 ， 源 端口 处 的 ANY 表示 任意 端口 ， 这 是 因为 PC 在 访问 Web 服务 器 
时 ， 它 的 操作 系统 决定 了 所 使 用 的 源 端口 。 例 如 ， 对 于 Windows 操作 系统 来 说 ， 这 个 值 
可 能 是 1 024~65 535 范围 内 任意 的 一 个 端口 。 这 个 值 是 不 确定 的 , 所 以 这 里 设 定 为 任意 
端口 。 

配置 了 这 条 规则 后 ，PC 发 出 的 报 文 就 可 以 顺利 通过 防火 墙 ， 到 达 Web 服务 器 。 然 
后 Web 服务 器 将 会 向 PC 发 送 回应 报 文 , 这 个 报 文 也 要 穿 过 防火 墙 才能 到 达 PC。 在 状态 
检测 防火 墙 出 现 之 前 ， 包 过 滤 防 火 墙 上 还 必须 配置 表 1-2 所 示 的 编号 为 2 的 规则 ， 人 允许 
反方 向 的 报 文通 过 。 

在 规则 2 中 ， 目 的 端口 也 设 定 为 任意 端口 ， 因 为 我 们 无 法 确定 PC 访问 Web 服务 器 
时 使 用 的 源 端 口 ， 要 想 使 Web 服务 器 回应 的 报 文 都 能 顺利 穿 过 防火 墙 到 达 PC， 只 能 将 
规则 2 中 的 目的 端口 设 定 为 任意 端口 。 
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表 1-2 防火 墙 上 新 增 规则 2 


192.168.0.1 172.16.0.1 | ”80 | 允许 通过 
172.16.0.1 | 80 | 192.168.0.1 允许 通过 


如 果 PC 位 于 受 保护 的 网 络 中 ， 这 样 处 理 将 会 带 来 很 大 的 安全 问题 。 规 则 2 将 去 往 
PC 的 目的 端口 全 部 开放 ， 外 部 的 恶意 攻击 者 伪装 成 Web 服务 器 ， 就 可 以 畅通 无 阻 地 穿 
过 防火 墙 ，PC 将 会 面临 严重 的 安全 风险 。 

接 下 来 让 我 们 看 一 下 状态 检测 防火 墙 怎么 解决 这 个 问题 。 还 是 以 上 面 的 网 络 环 
境 为 例 ， 首 先 我 们 还 是 需要 在 防火 墙 上 设 定 规则 1， 人 允许 PC 访问 Web 服务 器 的 报 
文通 过 。 当 报 文 到 达 防 火 墙 后 ， 防 火 墙 多 许 报 文 通过 ， 同 时 还 会 针对 PC 访问 Web 
服务 器 的 这 个 行为 建立 会 话 (Session)， 会 话 中 包含 PC 发 出 的 报 文 信息 如 地 址 和 端 
口 等 。 

当 Web 服务 器 回应 给 PC 的 报 文 到 达 防 火 墙 后 ， 防 火 墙 会 把 报 文中 的 信息 与 会 话 中 
的 信息 进行 比 对 。 如 果 发 现 报 文中 的 信息 与 会 话 中 的 信息 相 匹配 , 并 且 该 报 文 符合 HTTP 
协议 规范 的 规定 ， 则 认为 这 个 报 文 属 于 PC 访问 Web 服务 器 行为 的 后 续 回 应 报 文 ， 直 接 
允许 这 个 报 文通 过 ， 如 图 1-18 所 示 。 









! CD PC 访问 Web 服务 器 ， 
和 > 


允许 通过 
© 


| 
' . 
让 





! ”@) Web 服务 器 回应 PC 
上 一 


匹配 会 话 
: @ | 多 诉 通过 
| < 一 | 


图 1-18 ”状态 检测 防火 墙 的 报 文 交 互 过 程 





[0 说 明 

为 了 便于 描述 ， 在 本 节 中 我 们 将 PC 和 Web 服务 器 与 防火 墙 直接 相连 。 实 际 环境 中 ， 
如 果 PC、Web 服务 器 与 防火 墙 之 间 跨 网 络 相 连 ， 则 必须 在 防火 墙 上 配置 路 由 ,保证 
PC 和 Web 服务 器 两 者 相互 路 由 可 达 。 即 使 Web 服务 器 回应 给 PC 的 报 文 已 经 匹 
配 了 会 话 ， 防 火 墙 上 也 必须 存在 去 往 PC 的 路 由 ， 这 样 才能 保证 回应 报 文正 常 发 送 
到 PC。 





恶意 攻击 者 即使 伪装 成 Web 服务 器 向 PC 发 起 访问 ， 由 于 这 类 报 文 不 属于 PC 访问 
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Web 服务 器 行为 的 后 续 回应 报 文 ， 防 火 墙 就 不 会 允许 这 些 报 文通 过 。 这 样 既 保证 了 PC 
可 以 正常 访问 Web 服务 器 ， 也 避免 了 大 范围 开放 端口 带 来 的 安全 风险 。 

总 结 一 下 ， 在 状态 检测 防火 墙 出 现 之 前 ， 包 过 滤 防 火 墙 上 只 根据 设 定 好 的 静态 规则 来 
判断 是 否 允 许 报 文通 过 ， 它 认为 报 文 都 是 无 状态 的 孤立 个 体 ， 不 关注 报 文 产生 的 前 因 后 
果 。 这 就 要 求 包 过 滤 防 火 墙 必须 针对 每 一 个 方向 上 的 报 文 都 配置 一 条 规则 ， 转 发 效率 低 
下 而 且 容 易 带 来 安全 风险 。 

而 状态 检测 防火 墙 的 出 现 正好 弥补 了 包 过 滤 防 火 墙 的 这 个 缺陷 。 状 态 检测 防火 墙 使 
用 基于 连接 状态 的 检测 机 制 ， 将 通信 双方 之 间 交 互 的 属于 同一 连接 的 所 有 报 文 都 作为 整 
体 的 数据 流 来 对 待 。 在 状态 检测 防火 墙 看 来 , 同一 个 数据 流 内 的 报 文 不 再 是 孤立 的 个 体 ， 
而 是 存在 联系 的 。 例 如 ， 为 数据 流 的 第 一 个 报 文 建立 会 话 ， 数 据 流 内 的 后 续 报 文 就 会 直 
接 匹 配 会 话 转发 ， 不 需要 再 进行 规则 的 检查 ， 提 高 了 转发 效率 。 


1.5.2 会话 


接着 我 们 就 来 进一步 了 解 一 下 会 话 。 会 话 是 通信 双方 建立 的 连接 在 防火 墙 上 的 具体 
体现 ， 代 表 两 者 的 连接 状态 ， 一 条 会 话 就 表示 通信 双方 的 一 个 连接 。 防 火 墙 上 多 条 会 话 
的 集合 就 叫 作 会 话 表 (Session table)， 先 看 一 个 标准 的 会 话 表 项 。 

http VPN:public -> public 192.168.0.1:2049-->172.16.0.1:80 


我 们 重点 介绍 这 个 表 项 中 的 关键 字段 : 

。 http 表示 协议 (此 处 显示 的 是 应 用 层 协 议 ); 

。 192.168.0.1 表示 源 地 址 ; 

。 2049 表示 源 端 口 ; 

。 172.16.0.1 表示 目的 地 址 ; 

。 80 表示 目的 端口 。 

是 如 何 区 分 源 和 目的 呢 ? 其 实 通过 会 话 表 项 中 的 “-->” 符 号 就 可 以 直观 区 分 ， 符 号 
前 面 的 是 源 ， 符 号 后 面 的 是 目的 。 

源 地 址 、 源 端口 、 目 的 地 址 、 目 的 端口 和 协议 这 5 个 元 素 是 会 话 的 重要 信息 ， 我 们 
将 这 5 个 元 素 称 之 为 “五 元 组 ”。 只 要 这 5 个 元 素 相同 的 报 文 即 可 认为 属于 同一 条 流 ,在 
防火 墙 上 通过 这 5 个 元 素 就 可 以 唯一 确定 一 条 连接 。 

还 有 一 些 协议 ， 它 们 的 报 文 中 没有 端口 信息 ， 防 火 墙 处 理 这 些 协议 的 报 文 时 ， 如 何 
生成 会 话 表 呢 ? 比如 ICMP 协议 ， 报 文中 不 带 端口 信息 ， 那 么 防火 墙 会 把 ICMP 报 文 头 
中 ID 字段 值 作为 ICMP 会 话 的 源 端口 ， 会 以 固定 值 2048 作为 ICMP 会 话 的 目的 端口 。 
又 比如 后 面 我 们 会 讲 到 IPSec 中 的 AH (Authentication Header， 认 证 头 ) 协议 和 “ESP 
(Encapsulating Security Payload， 封 装 安全 载荷 ) 协议 ， 也 不 带 有 端口 信息 ， 防 火 墙 会 直 
接 将 这 两 个 协议 的 会 话 中 的 源 和 目的 端口 都 记录 为 0。 


1.5.3 ”组 网 验证 


光 说 不 练 假 把 式 。 下 面 强 叔 就 使 用 eNSP 模拟 器 来 搭建 一 个 简单 的 网 络 环境 ， 验 证 
防火 墙 上 的 状态 检测 机 制 。 网 络 拓扑 还 是 图 1-17 所 示 的 组 网 。 
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[0 说 明 

eNSP( Enterprise Network Simulation Platform ) 是 一 款 由 华为 推出 的 免费 的 图 形 化 网 络 
设备 仿真 平台 ， 主 要 对 企业 网 路 由 器 、 交 换 机 、 防 火 墙 等 设备 进行 软件 仿真 ， 使 您 能 
够 在 没有 真实 设备 的 情况 下 也 可 以 进行 实验 测试 ， 学 习 网 络 技术 。eNSP 中 提供 了 
USG5000 防火 墙 的 仿真 环境 , 目前 已 经 支持 大 部 分 的 安全 功能 , 本 书 中 主要 使 用 eNSP 
来 进行 组 网 验证 。 


防火 墙 上 只 配置 了 表 1-1 所 示 的 一 条 规则 ， 人 允许 PC 访问 Web 服务 器 的 报 文通 过 。 
在 PC 上 使 用 HttpClient 程序 访问 Web 服务 器 ， 发 现 可 以 成 功 访 问 。 在 防火 墙 上 使 用 
display firewall session table 命令 查看 会 话 表 的 信息 ， 发 现 已 经 建立 一 条 会 话 ， 如 下 。 

[FEW] display firewallsessiontable 

”Current Total Sessions :1 
http VPN:public --> public 192.168.0.1:2049-->172.16.0.1:80 

上 述 信 息 说 明 状 态 检 测 机 制 工作 正常 ,防火 墙 收 到 Web 服务 器 返回 给 PC 的 报 文 后 ， 
发 现 该 报 文 可 以 匹配 到 该 条 会 话 ， 即 使 没有 配置 允许 反方 向 报 文通 过 的 规则 ， 防 火 墙 也 
允许 其 通过 。 

最 后 ， 希 望 通过 强 叔 的 介绍 ， 大 家 可 以 了 解 状态 检测 和 会 话机 制 ， 也 希望 大 家 要 理 
论 结合 实际 ， 多 多 使 用 eNSP 动手 配置 。 


1.6 ”状态 检测 和 会 话机 制 补遗 


在 1.5“ 状 态 检 测 和 会 话机 制 ” 一 节 中 ， 我 们 学 习 了 状态 检测 的 工作 原理 ， 了 解 到 
会 话 中 包含 的 五 元 组 信息 。 看 过 之 后 ， 各 位 读者 可 能 会 有 疑问 : 防火 墙 的 会 话 中 就 只 包 
含 五 元 组 信息 吗 ? 防火 墙 会 为 哪些 协议 的 报 文 建立 会 话 呢 ? 状态 检测 功能 在 所 有 网 络 环 
境 下 都 适用 吗 ? 

作为 上 一 节 内 容 的 补充 ， 本 节 中 强 叔 将 继续 和 大 家 探讨 状态 检测 和 会 话机 制 ， 揭 示 
会 话 中 的 各 种 信息 ， 总 结 防火 墙 在 开启 或 者 关闭 状态 检测 的 情况 下 对 报 文 的 处 理 方式 ， 
为 大 家 答疑 解 惑 。 


1.6.1 “再 谈 会 话 


还 是 从 一 个 简单 的 网 络 环境 开始 ， 如 图 1-19 所 示 ，PC、Web 服务 器 与 防火 墙 直接 
相连 ， 防 火 墙 上 已 经 将 连接 PC 和 Web 服务 器 的 接口 加 入 到 不 同 的 安全 区 域 ， 并 且 配 置 
了 规则 允许 PC 访问 Web 服务 器 。 


GEO/0/1 





图 1-19 PC 访问 Web 服务 器 组 网 
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PC 访问 Web 服务 器 ， 业 务 正 常 。 在 防火 墙 上 使 用 display firewall session table 
Verbose 命令 可 以 看 到 会 话 正常 建立 , 我 们 在 命令 中 使 用 了 verbose 参数 ,通过 这 个 参数 
可 以 看 到 会 话 的 更 多 信息 ， 如 下 所 示 。 

[FW] display firewall session table verbose 

CamentToblsessios:1 

http VPN:public -> public 
Zone: trust--> untrust TTL: 00:00:10 Left: 00:00:04 9 
«Interface: GigabitBthernet0/0/2 NextHop: 172.16.0.1 MAC: $4.89.98-fe: 36-96 ， 
<--packets:4 bytes:465 。 -->packets:7 bytes:455 9 
192.168.0.1:2052-->172.16.0.1:80 ， 

上 述 信息 中 ， 除 了 上 次 介绍 过 的 五 元 组 信息 之 外 ， 还 有 一 些 之 前 没 见 过 的 信 息 ， 我 
们 逐一 介绍 。 

e Zone: 表示 报 文 在 安全 区 域 之 间 流 动 的 方向 ，trust--> untrust 表示 报 文 是 从 Trust 
区 域 流 向 Untrust 区 域 。 

TTL: 表示 该 条 会 话 的 老化 时 间 ， 这 个 时 间 到 期 后 ， 这 条 会 话 也 将 会 被 清除 。 
Left: 表示 该 条 会 话 剩 余 的 生存 时 间 。 
Interface: 表示 报 文 的 出 接口 ， 报 文 从 这 个 接口 发 出 。 
NextHop: 表示 报 文 去 往 的 下 一 跳 的 卫 地 址 ， 本 组 网 中 是 Web 服务 器 的 IP 
地 址 。 
。 MAC: 表示 报 文 去 往 的 下 一 跳 的 MAC 地 址 ， 本 组 网 中 是 Web 服务 器 的 MAC 
地 址 。 
。 <--packets:4 bytes:465: 表示 会 话 反 向 方向 上 的 报 文 统计 信息 ， 即 Web 服务 器 向 
PC 发 送 报 文 的 个 数 和 字 节 数 。 
。 -->packets:7 bytes:455: 表示 会 话 正 向 方向 上 的 报 文 统计 信息 ， 即 PC 向 Web 服 
务 器 发 送 报 文 的 个 数 和 字 节 数 。 

上 述 信息 中 有 两 点 需要 说 明 一 下 。 首 先是 会 话 的 老化 时 间 ， 即 TTL。 会 话 是 动态 生 
成 的 ， 但 不 是 永远 存在 的 。 如 果 长 时 间 没 有 报 文 匹 配 ， 则 说 明 通 信 双 方 已 经 断 开 了 连接 ， 
不 再 需要 该 条 会 话 了 。 此 时 ， 为 了 节约 系统 资源 ， 防 火 墙 会 在 一 段 时 间 后 删除 会 话 。 该 
时 间 称 为 会 话 的 老化 时 间 。 

老化 时 间 的 取 值 非常 重要 , 某 种 业务 的 会 话 老 化 时 间 过 长 , 就 会 一 直 占 用 系统 资源 ， 
有 可 能 导致 其 他 业务 的 会 话 不 能 正常 建立 ， 会 话 老 化 时 间 过 短 ， 有 可 能 导致 该 业务 的 连 
接 被 防火 墙 强行 中 断 ， 影 响 业 务 运 行 。 华 为 防火 墙 已 经 针对 不 同 的 协议 设置 了 相应 的 会 
话 默认 老化 时 间 ， 比 如 ICMP 的 会 话 老 化 时 间 是 20s，DNS 的 会 话 老化 时 间 是 30s 等 。 
通常 情况 下 采用 这 些 默 认 值 就 可 以 保证 各 个 协议 正常 运行 ， 如 果 需 要 调整 默认 值 ， 可 以 
通过 firewall session aging-time 命令 来 设置 。 例如 , 将 DNS 的 会 话 老化 时 间 调 整 为 10s。 

[FW] firewall session aging-time dns 10 ， 

网 络 中 还 有 一 种 类 型 的 业务 ， 一 条 连接 上 的 两 个 连续 报 文 可 能 间隔 时 间 很 长 ， 最 具 
代表 性 的 就 是 SQL 数据 库 业 务 。 用 户 查 询 SQL 数据 库 服务 器 上 的 数据 时 ， 查 询 操 作 的 
时 间 间 隔 可 能 会 远大 于 SQL 数据 库 业 务 的 会 话 老化 时 间 , 防火 墙 上 该 业务 的 会 话 老 化 之 
后 ， 就 会 出 现 用 户 访问 SQL 数据 库 变 慢 或 者 无 法 继续 查询 的 问题 。 
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如 果 只 靠 延长 这 些 业 务 所 属 协议 的 会 话 老 化 时 间 来 解决 这 个 问题 ， 会 导致 一 些 同样 
属于 这 个 协议 ， 但 是 其 实 并 不 需要 这 么 长 的 老化 时 间 的 会 话 长 时 间 不 能 得 到 老化 ， 占 用 
了 系统 资源 ， 影 响 其 他 业务 。 

为 此 ， 华 为 防火 墙 提供 了 “长 连接 ”功能 ， 通 过 ACL 规则 来 识别 报 文 ， 只 有 匹配 
ACL 规则 的 特定 报 文 的 会 话 老化 时 间 才 会 被 延长 。 与 单纯 的 通过 调整 协议 的 会 话 老化 时 
间 相 比 ， 长 连接 功能 的 控制 粒度 更 加 精确 。 默 认 情 况 下 ， 应 用 了 长 连接 功能 的 报 文 的 会 
话 老 化 时 间 是 168h〈 相 当 长 了 吧 !)， 当 然 这 个 时 间 也 可 以 手动 调整 。 


[0 说 明 


目前 仅 支 持 对 TCP 协议 类 型 的 报 文 配 置 长 连接 功能 。 


对 于 长 连接 功能 在 安全 区 域 或 安全 域 间 的 配置 ， 下 面 给 出 了 在 Trust 安全 区 域 与 
Untrust 安全 区 域 之 间 ， 针 对 192.168.0.1 访问 IP 地 址 为 172.16.0.2 的 SQL 数据 库 报 文 配 
下 
。 Tract ev a000) rale permittep souree 192.168.0.1 Odestination raeo20' lestina on-port e 





其 次 是 报 文 统计 信 息 ， 会 话 中 “<--” 和 “-->”i 两 个 方向 上 的 报 文 统计 信息 非常 重 
要 ， 可 以 帮助 我 们 定位 网 络 故障 。 通 常情 况 下 ， 如 果 我 们 查看 会 话 时 发 现 只 有 “-->” 
向 有 报 文 的 统计 信息 ,“<-- ”方向 上 的 统计 信息 都 是 0, 那 就 说 明 PC 发 往 Web 服务 器 的 
报 文 顺利 通过 了 防火 墙 ， 而 Web 服务 器 回应 给 PC 的 报 文 没有 通过 防火 墙 ， 双 方 的 通信 
是 不 正常 的 。 有 可 能 是 防火 墙 丢弃 了 Web 服务 器 回应 给 PC 的 报 文 ， 或 者 是 防火 墙 与 
Web 服务 器 之 间 的 网 络 出 现 故障 ,或 者 是 Web 服务 器 本 身 出 现 故障 。 这 样 我 们 就 缩小 了 
故障 的 范围 ， 有 利于 快速 定位 故障 ， 当 然 ， 凡 事 都 有 例外 ， 在 特殊 的 网 络 环境 中 ， 如 果 
其 中 一 个 方向 的 报 文 统计 信息 是 0， 双 方 的 通信 也 有 可 能 是 正常 的 ， 这 种 特殊 的 网 络 环 
境 是 什么 呢 ? 这 里 先 卖 个 关子 ， 下 面 我 们 会 讲 到 。 


1.6.2 ”状态 检测 与 会 话 创建 


防火 墙 上 的 状态 检测 功能 将 属于 同一 个 连接 的 报 文 都 视 为 一 个 整体 数据 流 ， 用 会 话 
来 表示 这 条 连接 , 具体 是 怎么 实现 的 呢 ? 这 就 要 求 防 火 墙 能 够 分 析 各 个 协议 的 交互 模式 。 
以 TCP 协议 为 例 , 我 们 都 知道 , 建立 一 个 TCP 连接 , 通信 双方 需要 三 次 握手 ,如 图 1-20 
所 示 。 

判断 一 个 TCP 连接 的 主要 标志 就 是 SYN 报 文 ， 我 们 也 把 SYN 报 文 称 为 TCP 连接 
的 首 包 。 对 于 TCP 协议 , 防火 墙 只 有 收 到 SYN 报 文 并 且 配 置 的 规则 允许 SYN 报 文通 过 
才 会 建立 会 话 ， 后 续 的 TCP 报 文 匹 配 会 话 直 接 转 发 。 如 果 防 火 墙 没 有 收 到 SYN 报 文 ， 
只 收 到 了 SYN+ACK 或 ACK 等 后 续 报 文 ， 是 不 会 创建 会 话 的 ， 并 且 会 将 这 些 报 文 丢弃 。 
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PC Web 服务 器 












© sYN(seq=a) 
© SYN+ACK(seq=b, ack=a+1) 


@) ACK(ack=b+1) 


图 1-20 ”TCP 三 次 握手 


在 正常 情况 下 这 样 处 理 是 没有 问题 的 ， 但 是 在 某 些 特殊 的 网 络 环境 中 就 会 出 现 问 
题 。 如 图 1-21 所 示 ， 内 部 网 络 访问 外 部 网 络 的 请 求 报 
文 直接 通过 路 由 器 到 达 外 部 网 络 , 而 外 部 网 络 的 回应 报 
文 ， 先 经 过 路 由 器 转发 到 防火 墙 ， 由 防火 墙 处 理 后 再 转 
发 到 路 由 器 , 最 后 由 路 由 器 发 送 到 内 部 网 络 。 也 就 是 说 ， 
防火 墙 无 法 收 到 SYN 报 文 ,只 收 到 了 SYN+ACK 报 文 。 
这 种 通信 双方 交互 的 报 文 不 同时 经 过 防火 墙 的 情况 , 叫 
作 报 文 来 回路 经 不 一 致 。 

在 这 种 网 络 环境 中 ， 防 火 墙 收 到 SYN+ACK 报 文 
后 ， 由 于 没有 相应 的 会 话 ， 就 会 丢弃 SYN+ACK 报 文 ， 
导致 内 部 网 络 和 外 部 网 络 之 间 的 通信 中 断 。 这 种 情况 下 
该 怎么 办 呢 ? 图 1-21 报 文 来 回路 径 不 一 致 示意 图 

别 担心 ， 防 火 墙 早已 经 考虑 到 这 个 问题 了 ， 我 们 可 以 关闭 状态 检测 功能 。 关 闭 状态 
检测 功能 后 ， 防 火 墙 就 不 会 对 连接 的 状态 进行 分 析 了 ， 相 当 于 回 到 了 包 过 滤 防 火 墙 的 时 
代 ， 后 续 报 文具 要 规则 《安全 策略 ) 允许 其 通过 ， 就 可 以 转发 并 建立 会 话 了 ， 这 样 就 不 
会 导致 通信 中 断 。 


八 注意 


关闭 状态 检测 功能 将 彻底 改变 防火 墙 的 工作 模式 ， 本 节 仅 以 此 为 例 介 绍 实 现 原理 ， 在 
实际 网 络 环境 中 除非 有 特殊 的 需求 ， 否 则 请 不 要 关闭 状态 检测 功能 。 


: SYN+ACK 
人 


路 由 器 


下 面 我 们 就 以 报 文 来 回路 径 不 一 致 的 环境 为 例 ， 看 一 看 防火 墙 在 开启 和 关闭 状态 检 
测 功 能 时 对 常用 的 TCP、UDP 和 ICMP 协议 报 文 的 处 理 方式 。 

1. TCP 

首先 来 看 一 下 TCP 协议 。 我 们 使 用 eNSP 来 模拟 一 个 报 文 来 回路 径 不 一 致 的 网 络 
环境 ， 我 们 让 PC 访问 Web 服务 器 的 报 文通 过 路 由 器 直接 到 达 Web 服务 器 ， 让 Web 
服务 器 回应 给 PC 的 报 文 将 会 先 转发 到 防火 墙 ， 然 后 再 发 送 到 PC。 网 络 拓扑 如 图 1-22 
所 示 。 
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图 1-22 TCP 协议 的 报 文 来 回路 径 不 一 致 组 网 示意 图 


[0 说 明 

为 了 构造 来 回路 径 不 一 致 的 环境 , 需要 在 路 由 器 上 配置 策略 路 由 , 将 Web 服务 器 回应 
给 PC 的 报 文 重 定 向 至 防火 墙 ， 关 于 策略 路 由 的 配置 请 参考 路 由 器 自 带 的 文档 。 同 时 
防火 墙 上 还 要 配置 去 往 PC 的 路 由 ， 下 一 跳 为 路 由 器 上 与 防火 墙 接口 GE0/0/1 相连 的 
接口 地 址 ， 此 处 假设 是 10.1.2.2。 


首先 在 防火 墙 上 配置 表 1-3 所 示 的 规则 ， 人 允许 Web 服务 器 回应 给 PC 的 报 文通 过 。 
表 1-3 允许 Web 服务 器 回应 给 PC 的 报 文通 过 的 规则 






然后 先 不 关闭 状态 检测 功能 , 让 PC 访问 Web 服务 器 , 发 现 无 法 成 功 访问 , 如 图 1-23 
所 示 。 





1-23 ”PC 无 法 访问 Web 服务 器 
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在 防火 墙 上 也 无 法 查看 到 会 话 信息 。 
[FW] display firewall session table 
Current Total Sessions : 0 > 
此 时 在 防火 墙 上 使 用 display firewall statistic system discard 命令 查看 技 包 的 情况 ， 
发 现存 在 Session miss 丢 包 。 
[FW)] display firewall statistic ee rn 
« Packets discarded statistic | ， 
Ta 8 





这 表示 防火 墙 因为 无 法 找到 会 话 而 将 报 文 丢弃。 因为 防火 墙 只 收 到 了 服务 器 回应 的 
SYN+ACK 报 文 ， 没 有 收 到 SYN 报 文 ， 也 就 没有 相应 的 会 话 ， 所 以 SYN+ACK 报 文 被 
丢弃 。 

接 下 来 我 们 使 用 undo firewall session link-state check 命令 关闭 状态 检测 功能 。 

[FW] undo firewall session link-state check 


然后 再 让 PC 访问 Web 服务 器 ， 发 现 可 能 访问 成 功 ， 在 防火 墙 上 也 可 以 查看 到 会 话 
信息 。 
Elitay troveol eteston fade Vorbene 
A Curent Total Sessions: 1 ~ 
0 tcp _VPN:public -> public ~ 
Zone: untrust--> trust TTL: 00:00:10" Left: 00:00:10 
Interface: GigabitBthernet0/0/1 NextHop: 10. 1.2.2 MAC: 54-89-98-e4-79-d5 
<--packets:0 bytes:0 ， 
172.16.0.1:80-->192.168.0.1:2051 
在 会 话 信息 中 ,“<--” 方 向 的 统计 信息 是 0， 只 有 “-->” 方 向 存在 统计 信息 ， 这 就 
说 明 只 有 服务 器 回应 的 SYN+ACK 报 文 经 过 了 防火 墙 。 由 此 我 们 得 出 结论 ， 关 闭 状态 检 
测 功 能 后 ， 防 火 墙 收 到 SYN+ACK 报 文 后 也 会 建立 会 话 ，PC 和 Web 服务 器 之 间 的 通信 
不 会 中 断 。 
在 报 文 来 回路 径 不 一 致 的 网 络 环境 中 ， 我 们 在 防火 墙 上 关闭 状态 检测 功能 后 ， 会 话 
中 的 一 个 方向 上 的 报 文 统计 信息 是 0， 此 时 双方 的 通信 也 是 正常 的 ， 这 就 是 我 们 上 面 所 
说 的 特殊 的 网 络 环境 。 可 见 在 实际 的 网 络 环境 中 ， 我 们 还 是 要 具体 情况 具体 分 析 。 
2. UDP 
接 下 来 我 们 看 一 下 UDP 协议 。UDP 协议 不 同 于 TCP 协议 ， 它 是 没有 连接 状态 的 协 
议 。 对 于 UDP 协议 ， 防 火 墙 收 到 UDP 报 文 后 ， 无 论 状 态 检测 功能 是 处 于 开启 还 是 关闭 
状态 ， 只 要 防火 墙 上 配置 的 规则 允许 UDP 报 文通 过 ， 防 火 墙 就 会 建立 会 话 。 
3. ICMP 
最 后 来 看 一 下 ICMP 协议 。 一 提 到 ICMP 协议 ， 我 们 首先 就 会 想到 Ping。Ping 常用 
来 测试 网 络 中 男 一 人 台 设 备 是 否 可 达 ， 是 我 们 在 日 常 维护 中 经 常会 用 到 的 操作 。 执 行 Ping 
操作 的 一 方 会 发 送 Ping 回 显 请 求 报 文 (Echo request)， 收 到 该 请 求 报 文 后 ， 响 应 一 方 会 
发 送 Ping 回 显 应 答 报 文 《Echo reply)。 
对 于 Ping 报 文 ， 在 开启 状态 检测 功能 时 ， 防 火 墙 上 共有 收 到 Ping 回 显 请 求 报 文 ， 并 





且 防 火 墙 上 配置 的 规则 允许 Ping 回 显 请 求 报 文 通过 ， 才 会 建立 会 话 。 如 果 防 火 墙 没 有 收 
到 Ping 回 显 请 求 报 文 , 只 收 到 了 Ping 回 显 应 答 报 文 , 是 不 会 创建 会 话 的 , 并 且 会 将 Ping 
回 显 应 答 报 文 丢弃 。 在 关闭 状态 检测 功能 时 ， 防 火 墙 收 到 Ping 回 显 请 求 报 文 和 Ping 回 
显 应 答 报 文 ， 都 会 创建 会 话 。 

下 面 是 在 报 文 来 回路 径 不 一 致 的 网 络 环境 中 , 防火 墙 上 关闭 了 状态 检测 功能 后 , Ping 





:10.1.2.2 MAC:54-89-98-e4-79-d5 








而 对 于 其 他 类 型 的 ICMP 报 文 ， 无 论 状态 检测 功能 是 开启 还 是 关闭 状态 ， 只 
墙 上 配置 的 规则 人 允许 这 些 报 文 通过 ， 防 火 墙 都 会 转发 报 文 ， 不 建立 会 话 。 

最 后 我 们 再 来 总 结 一 下 防火 墙 对 TCP、UDP 和 ICMP 协议 的 报 文 创建 会 话 的 情况 ， 
如 表 1-4 所 示 。 当 然 ， 前 提 还 是 防火 墙 上 配置 的 规则 允许 这 些 报 文通 过 ， 然 后 才能 进行 
表 中 的 处 理 。 

表 1-4 TCP、UDP 和 ICMP 协议 创建 会 话 情况 


创建 会 话 ， 转 发 报 文 


SYN+ACK、ACK 报 文 





要 防火 





其 他 ICMP 报 文 不 创建 会 话 ， 转 发 报 文 不 创建 会 话 ， 转 发 报 文 


通过 上 面 的 介绍 ， 我 们 清楚 了 会 话 中 的 各 种 信息 ， 知 道 了 防火 墙 在 开启 或 者 关闭 状 
态 检测 功能 的 情况 下 ， 对 TCP、UDP 和 ICMP 协议 报 文 的 不 同 处 理 方式 ， 相 信 大 家 对 状 
态 检 测 和 会 话机 制 也 有 了 进一步 的 了 解 。 下 节 我 们 将 介绍 安全 区 域 、 状 态 检 测 、 会 话机 
制 的 配置 注意 事项 和 故障 排除 指导 。 


1.7 ”配置 注意 事项 和 故障 排除 指导 


1.7.1 ”安全 区 域 


在 防火 墙 上 创建 一 个 新 的 安全 区 域 后 ， 必 须 为 该 安全 区 域 配 置 安全 级 别 ， 否 则 无 法 
将 接口 加 入 到 安全 区 域 中 ， 如 下 所 示 。 









26 华为 防火 墙 技术 漫谈 





为 安全 区 域 配置 安全 级 别 的 操作 如 下 ， 安 全 级 别 全 局 唯一 ， 不 能 和 已 经 存在 的 安全 
区 域 的 级 别 相同 。 


ds 


我 们 在 使 用 安全 区 域 的 时 候 ， 最 容易 出 现 的 问题 就 是 忘记 把 接口 加 入 安全 区 域 。 由 


于 接口 没有 加 入 安全 区 域 ， 防 火 墙 在 转发 报 文 的 时 候 无 法 判断 报 文 的 路 线 ， 无 法 确定 域 


间 关 系 ， 最 终 导致 防火 墙 将 报 文 丢 弃 ， 业 务 不 通 。 
此 时 ， 我 们 可 以 使 用 display zone 命令 来 查看 防火 墙 上 安全 区 域 的 配置 情况 以 及 接 


口 加 入 安全 区 域 的 情况 ， 检 查 我 们 用 到 的 接口 是 否 加 入 安全 区 域 。 








另外 ， 业 务 不 通 时 ， 我 们 还 可 以 从 丢 包 这 个 角度 来 排除 故障 。 使 用 display firewall 
statistic system discard 命令 查看 防火 墙 的 丢 包 统计 信息 ， 如 果 发 现 如 下 信息 ， 说 明 防火 


墙 因 为 无 法 确认 域 间 关系 而 丢 包 。 





造成 上 述 丢 包 的 原因 就 是 接口 没有 加 入 安全 区 域 。 此 时 就 可 以 进一步 检查 接口 是 否 
加 入 安全 区 域 了 ， 可 见 通过 查看 防火 墙 丢 包 信息 能 比较 快速 地 定位 问题 所 在 。 


1.7.2 ”状态 检测 和 会 话机 制 


状态 检测 防火 墙 核心 的 技术 就 是 分 析 通信 双方 的 连接 状态 ， 然 后 建立 会 话 辅助 后 续 
报 文 转发 。 所 以 当 业 务 不 通 时 ， 在 防火 墙 上 检查 会 话 是 否 成 功 建立 ， 也 是 一 个 定位 故障 


的 重要 切入 点 。 
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配置 完成 后 ,如 果 业 务 不 通 , 我 们 可 以 在 防火 墙 上 使 用 display firewall session table 
命令 查看 是 否 存在 该 业务 的 会 话 ， 然 后 分 情况 进一步 排查 。 

1. 防火 墙 上 不 存在 该 业务 的 会 话 

如 果 防 火 墙 上 没有 为 该 业务 建立 会 话 ， 可 能 的 原因 包括 : 第 一 ， 业 务 报 文 没有 到 达 
防火 墙 ， 第 二 ， 业 务 报 文 被 防火 墙 丢 弃 。 对 于 第 一 个 原因 ， 我 们 需要 确认 业务 报 文 在 到 
达 防 火 墙 之 前 是 否 经 过 了 其 他 的 网 络 设备 ， 是 否 被 这 些 网 络 设备 丢弃 。 如 果 确 认 其 他 网 
络 设备 没有 问题 ， 此 时 就 要 把 排查 的 关注 点 聚焦 在 报 文 被 防火 墙 丢 弃 这 个 环节 。 

我 们 依然 使 用 display firewall statistic system discard 命令 查看 防火 墙 的 丢 包 统计 信 
息 ， 除 了 因为 无 法 确认 域 间 关 系 而 导致 的 丢 包 之 外 ， 如 果 发 现 如 下 信息 ， 说 明 防 火 墙 因 
为 无 法 找到 ARP 表 项 而 丢 包 。 
[EW] display firewall statistie system diseard 
~ Packets discarded statistic 


Tue 2 
ARPmisspacketsdiscarded; 2 


造成 上 述 丢 包 的 原因 可 能 是 防火 墙 无 法 从 上 下 行 设备 获得 ARP 表 项 ， 此 时 需要 检查 
防火 墙 上 下 行 连接 的 设备 的 ARP 功能 是 否 工作 正常 。 
如 果 发 现 如 下 信息 ， 说 明 防 火 墙 因为 无 法 找到 路 由 而 丢 包 。 


[FW] display firewall statistic system discard 


Packets discarded statistic - 
' Total packets digcarded: 2 
FIB miss packets discarded: 2 


造成 上 述 丢 包 的 原因 是 防火 墙 上 的 路 由 配置 出 现 问题 ， 此 时 应 该 检查 防火 墙 上 是 
存在 去 往 目 的 地 址 的 路 由 。 
如 果 发 现 如 下 信息 ， 说 明 防 火 墙 因为 无 法 找到 会 话 而 丢 包 。 


[FW] display firewall statistic system discard 


Packets discarded statistic | 
Total packets Be 2 
Session miss packets discarded: 2 


造成 上 述 丢 包 的 原因 可 能 是 防火 墙 只 收 到 了 后 续 报 文 ， 没 有 收 到 首 包 报 文 ， 此 时 请 
检查 网 络 环境 中 是 否 存在 报 文 来 回路 径 不 一 致 的 情况 。 如 果 需 要 的 话 ， 可 以 在 防火 墙 上 
执行 undo firewall session link-state check 命令 关闭 状态 检测 功能 , 然后 再 验证 业务 是 否 
正常 。 

如 果 发 现 如 下 信息 ， 说 明 防 火 墙 因为 创建 会 话 失败 而 丢 包 。 

[FW] display firewall statistic system discard 

Packets discarded statistic 。 。 

Total packets discarded: 2 
Session create fail packets discarded: 2 

造成 上 述 丢 包 的 原因 可 能 是 防火 墙 上 的 会 话 数 量 已 经 达到 规格 限制 ， 无 法 再 创建 新 
的 会 话 。 此 时 应 该 检查 防火 墙 上 是 否 存 在 大 量 的 其 他 业务 的 会 话 , 并 且 长 时 间 没 有 老化 ， 
占用 了 系统 资源 。 例 如， 防火墙 上 存在 大 量 DNS 会 话 , 但 是 会 话 中 的 报 文 个 数 统计 量 很 
少 ， 几 乎 没有 后 续 报 文 ， 此 时 就 可 以 将 DNS 的 会 话 老 化 时 间 缩 短 为 3s， 使 其 加 速 老化 ， 


28 华为 防火 墙 技术 漫谈 


配置 命令 如 下 。 


2. 防火 墙 上 存在 该 业务 的 会 话 

如 果 防 火 墙 上 已 经 为 该 业务 建立 了 会 话 ， 我 们 还 要 使 用 verbose 参数 进一步 观察 会 
话 的 信息 。 如 果 发 现 如 下 信息 ， 说 明 会 话 的 正 向 方向 上 有 统计 信息 《有 报 文 经 过 )， 而 反 
向 方向 上 没有 统计 信息 (没有 报 文 经 过 )。 





造成 会 话 反 向 方向 上 没有 统计 信息 的 原因 可 能 是 回应 报 文 没有 到 达 防 火 墙 或 者 回 
应 报 文 被 防火 墙 丢弃 , 此 时 应 首先 检查 报 文 在 到 达 防 火 墙 之 前 是 否 被 其 他 网 络 设备 丢弃 ， 
然后 在 防火 墙 上 查看 丢 包 统计 信息 ， 参 考 上 面 介绍 过 的 内 容 ， 根 据 显示 结果 进行 相应 的 
处 理 。 


强 叔 提问 


1. 防火 墙 和 交换 机 、 路 由 器 的 主要 区 别 是 什么 ? 

2. 我 们 常 说 的 第 一 代 、 第 二 代 和 第 三 代 防 火 墙 都 指 的 是 哪些 防火 墙 ? 

3. 被 业界 权威 的 第 三 方 安全 测评 机 构 NSS 实验 室 评 为 最 快 防火 墙 的 是 华为 哪 一 款 
防火 墙 产 品 ? 

4. 请 分 别 说 出 防火 墙 上 默认 的 Local、Trust、 DMZ 和 Untrust 安全 区 域 的 安全 级 别 。 

5. 人 aaa 





public 192.168.0.2:51870-->172.16.0.2:23 


6. 防火 墙 关闭 状态 检测 功能 后 ， 对 于 收 到 的 SYN+ACK 类 型 的 TCP 报 文 如 果 防 
火 墙 上 配置 的 规则 允许 报 文通 过 ， 那 么 防火 墙 接 下 来 如 何 处 理 该 报 文 ? 











第 2 量 
安全 策略 





安全 策略 初 体 验 
安全 策略 发 展 历 程 
Local 区 域 的 安全 策略 
ASPF 


配置 注意 事项 和 故障 排除 指导 
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2.1 安全 策略 初 体 验 


我 们 在 上 一 章 中 多 次 提 到 了 “规则 ”。 规则 是 实施 安全 控制 的 “安检 员 ” 它 在 防火 
墙 转发 报 文 的 过 程 中 扮演 着 重要 角色 ， 只 有 规则 人 允许 通过 ， 报 文才 能 在 安全 区 域 之 间 流 
动 ， 否 则 报 文 将 被 丢弃 。 

规则 在 防火 墙 上 的 具体 体现 就 是 “安全 策略 ”。 安 全 策略 涵盖 的 内 容 很 多 ， 实 现 原 
理 也 比较 复杂 ， 本 章 我 们 就 来 对 安全 策略 进行 详细 介绍 。 


2.1.1 基本 概念 


首先 我 们 从 一 个 简单 的 网 络 环境 讲 起 ， 如 图 2-1 所 示 ，PC 和 Web 服务 器 位 于 不 同 的 
网 络 ， 分 别 与 防火 墙 相 连 ，PC 属于 Trust 安全 区 域 ，Web 服务 器 属于 Untrust 安全 区 域 。 


Trust Untrust 





防 火 墙 Web 服务 器 


PC 
192.168.0.1 172.16.0.1 


图 2-1 PC 访问 Web 服务 器 组 网 示意 


如 果 想 在 防火 墙 上 允许 PC 访问 Web 服务 器 ， 用 文字 的 形式 来 描述 这 个 需求 就 是 ; 
允许 Trust 安全 区 域 到 Untrust 安全 区 域 的 、 源 地 址 是 192.168.0.1、 目 的 地 址 是 172.16.0.1、 
目的 端口 是 80 (HTTP 协议 ) 的 报 文通 过 。 

我 们 把 这 段 文字 描述 改 用 安全 策略 的 方式 来 表示 ， 同 时 补充 隐 含 的 源 端口 信息 ， 结 
果 如 图 2-2 所 示 。 Untmast 

从 图 2-2 可 知 ， 安 全 策略 基于 安全 区 域 的 
域 间 关系 来 呈现 ， 其 内 容 包 括 两 个 组 成 部 分 。 

。 条 件 。 检查 报 文 的 依据 ， 防 火 墙 将 报 文 天 

中 携带 的 信息 与 条 件 逐 一 对 比 ， 以 此 来 | 
判断 报 文 是 否 匹 配 。 

e。 动作 。 对 匹配 了 条 件 的 报 文 执行 的 动 

作 , 包括 允许 通过 (permit) 或 拒绝 通过 
(deny)， 一 条 策略 中 只 能 有 一 个 动作 。 

这 里 还 要 特意 说 明 一 下 安全 策略 中 的 条 
件 ， 可 分 为 多 个 字段 ， 如 源 地 址 、 目 的 地 址 、 图 2-2 PC 访问 Web 服务 器 的 安全 策略 
源 端 口 、 目 的 端口 等 ， 这 些 字 段 之 间 是 “与 ”的 关系 ， 也 就 是 说 ， 只 有 报 文中 的 信息 和 
所 有 字段 都 匹配 上 ， 才 算是 命中 了 这 条 策略 。 如 果 同 一 个 字段 中 有 多 个 匹配 项 ， 如 同时 
有 两 个 源 地 址 或 三 个 目的 地 址 ， 那 么 这 些 匹配 项 之 间 是 “或 ”的 关系 ， 只 要 报 文 匹 配 了 
其 中 的 一 项 ， 就 算 匹 配 了 该 条 件 。 
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安全 策略 配置 完成 后 ，PC 就 可 以 访问 Web 服务 器 了 。Web 服务 器 回应 给 PC 的 报 
文 ， 会 匹配 会 话 转发 ， 不 需要 再 配置 额外 的 安全 策略 ， 这 一 点 我 们 在 1.5 节 “ 状 态 检测 
和 会 话机 制 ” 中 已 经 介绍 过 了 。 

在 实际 的 网 络 环境 中 ， 不 仅仅 只 有 PC 和 Web 服务 器 这 两 个 特定 目标 之 间 通 信 ， 通 
常 是 两 个 网 络 之 间 的 通信 ， 如 192.168.0.0/24 网 段 访问 172.16.0.0/24 网 段 。 所 以 我 们 会 
把 安全 策略 的 条 件 配置 成 一 个 网 段 ， 如 允许 Trust 安全 区 域 到 Untrust 安全 区 域 的 、 源 地 
址 是 192.168.0.0/24 网 段 、 目 的 地 址 是 172.16.0.0/24 网 段 的 报 文通 过 。 此 时 如 果 有 新 的 
需求 ， 不 想 让 192.168.0.0/24 网 段 中 的 特定 地 址 192.168.0.100 访问 172.16.0.0/24 网 段 ， 
该 如 何 配置 呢 ? 

我 们 可 以 再 配置 一 条 新 的 安全 策略 ， 拒 绝 Trust 安全 区 域 到 Untrust 安全 区 域 的 、 源 
地 址 是 192.168.0.100 的 报 文通 过 。 看 到 这 里 大 家 可 能 会 有 疑问 ， 这 两 条 安全 策略 中 的 条 
件 都 有 源 地址 192.168.0.100， 也 就 是 说 ，192.168.0.100 发 出 的 报 文 ， 既 可 以 命中 第 一 条 
安全 策略 ， 也 可 以 命中 第 二 条 安全 策略 ， 但 是 两 条 安全 策略 的 动作 却 是 冲突 的 ， 防 火 墙 
处 理 报 文 时 应 该 以 哪 条 安全 策略 的 动作 为 准 呢 ? 

下 面 我 们 就 来 讲解 安全 策略 之 间 的 匹配 顺序 。 


2.1.2 ”匹配 顺序 


安全 策略 之 间 是 存在 顺序 的 ， 防 火 墙 在 两 个 安全 区 域 之 间 转 发 报 文 时 ， 会 按照 从 上 
到 下 的 顺序 逐条 查找 域 间 存在 的 安全 策略 。 如 果 报 文 命中 了 菜 一 条 安全 策略 ， 就 会 执行 
该 安全 策略 中 的 动作 ， 或 允许 通过 或 拒绝 通过 ， 不 会 再 继续 向 下 查找 ， 如 果 报 文 没 有 命 
中 某 条 安全 策略 ， 则 会 向 下 继续 查找 。 

基于 上 述 实现 方式 ， 我 们 在 配置 安全 策略 时 要 遵循 “ 先 精 细 ， 后 粗 久 ”的 原则 。 具 
体 来 说 ， 就 是 先 配 置 匹配 范围 小 、 条 件 精确 的 安全 策略 ， 然 后 再 配置 匹配 范围 大 、 条 件 
宽泛 的 安全 策略 。 相 信 大 家 都 配置 过 ACL 规则 ， 安 全 策略 的 配置 和 ACL 规则 是 一 个 
道理 。 

以 上 面 我 们 说 到 的 情况 为 例 , 如 图 2-3 
所 示 ， 我 们 要 先 配置 第 一 条 安全 策略 : 
拒绝 Trust 安全 区 域 到 Untrust 安全 区 域 
的 、 源 地 址 是 192.168.0.100 的 报 文通 过 ; 
然后 再 配置 第 二 条 安全 策略 : 允许 Trust 
安全 区 域 到 Untrust 安全 区 域 的 、 源 地 址 


是 192.168.0.0/24 网 段 、 目 的 地 址 是 | 

172.16.0.0/24 网 段 的 报 文通 过 。 [DC Ex : 
防火 墙 在 查找 安全 策略 时 ， 源 地 址 :| | : 

是 192.168.0.100 的 报 文 会 首先 命中 第 一 : 

条 策略 ， 然 后 执行 拒绝 通过 的 动作 ， 而 

192.168.0.0/24 网 段 的 其 他 报 文 会 命中 第 


二 条 策略 ， 执 行 允 许 通过 的 动作 。 如 果 我 们 把 两 条 安全 策略 的 顺序 调换 ， 源 地 址 是 
192.168.0.100 的 报 文 就 永远 不 会 命中 动作 为 拒绝 通过 的 那 条 策略 ， 我 们 的 目的 也 就 没有 





图 2-3 安全 策略 的 匹配 顺序 
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达到 。 
到 这 里 大 家 可 能 又 有 问题 了 ， 如 果 查 找 安全 策略 时 ， 所 有 的 安全 策略 都 没有 命中 ， 
防火 墙 该 如 何 处 理 昵 ? 针对 这 种 情况 ， 防 火 墙 提 供 了 “ 缺 省 包 过 滤 ” 功 能 。 


2.1.3 ” 缺 省 包 过 滤 


缺 省 包 过 滤 本 质 上 也 是 一 种 安全 策略 ， 也 可 以 叫 作 缺 省 的 安全 策略 。 缺 省 包 过 滤 中 
没有 具体 的 条 件 , 它 对 所 有 的 报 文 均 生 效 , 它 的 动作 也 是 分 为 允许 通过 或 拒绝 通过 两 种 。 
需要 注意 的 是 ， 缺 省 包 过 滤 只 是 一 种 叫 法 ， 一 直 以 来 华为 防火 墙 都 沿用 了 这 样 的 叫 法 ， 
和 第 一 代 包 过 滤 防 火 墙 是 没有 关系 的 

缺 省 包 过 滤 的 条 件 最 宽泛 ， 所 有 的 报 
文 都 可 以 匹配 上 ， 所 以 防火 墙 把 缺 省 包 过 
滤 作 为 处 理 报 文 的 最 后 手段 。 如 图 2-4 所 
示 , 报 文 如 果 没 有 命中 任何 一 条 安全 策略 ， 
最 后 将 会 命中 缺 省 包 过 滤 ， 防 火 墙 将 会 对 
报 文 执行 缺 省 包 过 滤 中 配置 的 动作 。 

默认 情况 下 ， 缺 省 包 过 滤 的 动作 是 拒 [二 本 El 
绝 通 过 ， 也 就 是 说 ， 如 果 没 有 配置 任何 安 
全 策略 ， 防 火 墙 是 不 允许 报 文 在 安全 区 域 | | L 
之 间 流 动 的 。 有 时 候 为 了 简化 配置 ， 大 家 | 
会 把 两 个 安全 区 域 之 间 缺 省 包 过 滤 的 动作 
设置 成 允许 通过 。 这 样 操作 确实 省 时 省 事 ， 
但 是 会 带 来 极 大 的 安全 风险 ， 人 允许 所 有 报 
文通 过 , 网 络 隔离 和 访问 控制 都 无 法 实现 ， 
防火 墙 也 就 失去 了 存在 的 意义 。 所 以 我 们 图 2-4 ”安全 策略 和 缺 省 包 过 渡 
建议 不 要 轻易 将 缺 省 包 过 滤 的 动作 设置 成 允许 通过 ， 而 是 通过 配置 条 件 精 确 的 安全 策略 
来 控制 报 文 的 转发 。 

上 面 说 的 安全 策略 都 是 针对 报 文 在 两 个 安全 区 域 之 间 流动 的 情况 。 华 为 防火 墙 对 于 
安全 区 域 之 内 流动 的 报 文 能 进行 控制 吗 ? 当然 可 以 。 默 认 情 况 下 ， 报 文 在 安全 区 域 之 内 
流动 是 不 受 安全 策略 控制 的 ， 报 文 可 以 自由 通行 。 华 为 防火 墙 也 支持 安全 区 域内 的 安全 
策略 ， 我 们 可 以 配置 安全 策略 来 限制 某 些 特定 的 报 文通 过 ， 灵 活 应 对 各 种 组 网 环境 ， 满 
足 特殊 场景 的 需求 。 

另外 还 有 一 点 需要 特别 说 明 ， 当 防火 墙 的 接口 工作 在 二 层 模式 〈 透 明 模式 ) 时 ， 经 
过 防火 墙 的 报 文 也 会 受到 安全 策略 的 控制 ， 所 以 这 种 情况 下 也 需要 配置 相应 的 安全 策略 
对 报 文 进行 管控 。 

除了 经 过 防火 墙 转发 的 报 文 ， 防 火 墙 本 身 与 外 界 交 互 的 报 文 也 同样 受 安全 策略 的 控 
制 , 产生 这 一 类 报 文 的 业务 包括 管理 员 登 录 防火 墙 、 防 火 墙 与 其 他 设备 建立 VPN 等 。 针 
对 这 些 业 务 配置 安全 策略 ， 安 全 策略 中 的 条 件 也 各 不 相同 ,我 们 将 在 2.4 节 “Local 区 域 
的 安全 策略 ”中 为 大 家 详细 介绍 。 

通过 强权 的 介绍 ， 相 信 大 家 对 安全 策略 已 经 有 了 初步 的 了 解 。 任 何事 物 都 不 是 一 成 
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不 变 的 ， 华 为 防火 墙 上 的 安全 策略 也 在 与 时 俱 进 ， 不 断 发 展 ， 下 一 节 我 们 就 为 大 家 讲解 
华为 防火 墙 安全 策略 的 发 展 历程 。 
2.2 安全 策略 发 展 历程 
网 络 世界 风云 变幻 ， 安 全 威胁 层出不穷 。 为 了 适应 这 种 变化 ， 华 为 防火 墙 产 品 不 断 
推陈出新 ， 安 全 策略 也 随 之 改进 和 完善 。 


如 图 2-5 所 示 ， 华 为 防火 墙 安全 策略 的 发 展 主要 经 历 了 三 个 阶段 : 基于 ACL 的 包 过 
滤 阶 段 、 融 合 UTM 的 安全 策略 阶段 、 一 体 化 安全 策略 阶段 。 


一 体 化 安全 策略 和 
融合 UTM 的 安全 策略 日 闫 示人 TWA; 的 闪 维 皮 二 用 2 
@ 一 次 识别 流量 的 应 用 类 型 


功能 





基于 ACL 的 包 过 滤 © 和 区 才 皇 关头 生生 贡 浊 各 pr 内 容 安 全 多 
合 匹 五 元 组 ” 时 动作 : 允许 通过 /拒绝 通过 , 蔚 8@ 真正 的 一 体 化 策略 ， 应 用 ， 
依 旺 条 你” 担 记 好 各 元 绷 ， 多 匆 通 过 的 报 文 继续 进行 UTM 内容、 威胁 感 知 能 为 增强 
目的 端口 、 协 议 ) 和 时 间 段 。” 人 处理， 包括 IPS/AV/URL 过 滤 等 
靖 动作 : 允许 通过 /拒绝 通过 
全 通过 安全 域 间 引用 ACL 的 
方式 来 实现 


外 甫 过 生路 的 方式 来 实现 ， 策略 
置 条 件 和 动 





传统 防火 墙 UT™ 下 一 代 防 火 墙 
2-5 ”华为 防火 墙 安全 策略 发 展 历程 


华为 防火 墙 安全 策略 的 发 展 历程 有 以 下 几 个 特点 。 

。 匹配 条 件 越 来 越 精细 ， 从 传统 防火 墙 的 基于 IP、 端 口 来 识别 报 文 到 下 一 代 防 火 
墙 基于 用 户 、 应 用 、 内 容 来 识别 报 文 ， 识 别 能 力 越 来 越 强 。 

。 动作 越 来 越 多 ， 从 简单 的 允许 /拒绝 报 文通 过 到 对 报 文 进行 多 种 内 容 安全 检查 ， 
处 理 手 段 越 来 越 丰富 。 

。 配置 方式 也 在 不 断 改 进 ， 从 配置 ACL 到 配置 一 体 化 安全 策略 ， 易 于 理解 ， 简 单 
便捷 。 

下 面 我 们 逐一 对 安全 策略 发 展 历程 中 的 三 个 阶段 进行 介绍 。 


2.2.1 第 一 阶段 : 基于 ACL 的 包 过 滤 


基于 ACL 的 包 过 滤 是 华为 防火 墙 早期 的 实现 方式 ， 只 有 老 版 本 才 支 持 这 种 方式 ， 如 
USG2000/5800 系列 防火 墙 的 V100R003 版 本 、USG9500 系列 防火 墙 的 V200R001 版 本 等 。 

基于 ACL 的 包 过 滤 通 过 ACL 来 对 报 文 进行 控制 ，ACL 中 包含 若干 条 规则 (rule)， 
每 条 规则 中 定义 了 条 件 和 动作 。ACL 必须 事先 配置 ， 然 后 在 安全 域 间 引用 。 

防火 墙 在 两 个 安全 区 域 之 间 转 发 报 文 时 ， 会 按照 从 上 到 下 的 顺序 逐条 查找 ACL 中 
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的 规则 。 如 果 报 文 命中 了 某 一 条 规则 ， 就 会 执行 该 规则 中 的 动作 ,不 会 再 继续 向 下 查找 ; 
如 果 报 文 没 有 命中 某 条 规则 ， 则 会 向 下 继续 查找 。 如 果 所 有 的 规则 都 没有 命中 ， 则 执行 
缺 省 包 过 滤 中 的 动作 。 

如 图 2-6 所 示 ， 我 们 以 Trust 安全 区 域 到 Untrust 安全 区 域 的 域 间 关 系 为 例 ， 给 出 基 
于 ACL 的 包 过 滤 的 配置 逻辑 。 


基于 ACL 的 包 过 滤 





缺 省 包 过 滤 





2-6 基于 ACL 的 包 过 滤 配 置 逻 辑 


配置 基于 ACL 的 包 过 滤 时 ， 必 须 先 配置 ACL, 然后 在 安全 域 间 引用 该 ACL。 例如 ， 
要 求 在 Trust 安全 区 域 到 Untrust 安全 区 域 的 方向 上 , 拒绝 源 地 址 是 192.168.0.100 的 报 文 
通过 ; 允许 源 地 址 是 192.168.0.0/24 网 段 ， 目 的 地 址 是 172.16.0.0/24 网 段 的 报 文通 过 ， 


配置 如 下 。 





2.2.2 ”第 二 阶段 : 融合 UTM 的 安全 策略 


随 着 UTM 产品 的 推出 ,华为 防火 墙 的 安全 策略 也 向 前 迈进 了 一 步 , 真正 变 成 了 “ 策 
略 ” 的 形式 。 与 基于 ACL 的 包 过 滤 不 同 ， 此 时 的 安全 策略 中 可 以 直接 定义 条 件 和 动作 ， 
无 需 再 额外 配置 ACL。 另 外 ， 安 全 策略 的 动作 为 允许 通过 时 ， 还 可 以 引用 AV、IPS 等 
UTM 策略 ， 对 报 文 进一步 的 检测 。 
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目前 ，USG2000/5000 系列 防火 墙 的 V300R001 版 本 采用 的 就 是 融合 UTM 的 安全 策 
略 ，USG9500 系列 防火 墙 的 V300R001 版 本 也 采用 了 这 种 方式 ， 但 是 只 能 配置 条 件 和 动 
作 ， 不 支持 引用 UTM 策略 。 

如 图 2-7 所 示 ， 融 合 UTM 的 安全 策略 由 条 件 、 动 作 和 UTM 策略 组 成 。 有 一 点 需要 
注意 ， 在 安全 策略 的 条 件 中 出 现 了 服务 集 (Service-set) 的 概念 ， 代 替 了 协议 和 端口 。 安 
全 策略 中 已 经 内 置 了 一 些 服 务 集 ， 包 含 常见 的 协议 ， 直 接 配置 成 条 件 即 可 ; 对 于 不 在 此 
范围 之 内 的 协议 或 端口 ， 我 们 可 以 自 定义 新 的 服务 集 ， 然 后 在 安全 策略 中 引用 。 


融合 UTM 的 安全 策略 








图 2-7 融合 UTM 的 安全 策略 构成 


对 于 融合 UTM 的 安全 策略 来 说 ， 多 条 安全 策略 之 间 也 是 存在 顺序 的 ， 防 火 墙 在 两 
个 安全 区 域 之 间 转 发 报 文 时 ， 会 按照 从 上 到 下 的 顺序 逐条 查找 域 间 存在 的 安全 策略 。 如 
果 报 文 命中 了 某 一 条 安全 策略 ， 就 会 执行 该 安全 策略 中 的 动作 ， 不 会 再 继续 向 下 查找 ; 
如 果 报 文 没 有 命中 某 条 安全 策略 ， 则 会 向 下 继续 查找 。 如 果 所 有 的 策略 都 没有 命中 ， 则 
执行 缺 省 包 过 滤 中 的 动作 。 

如 图 2-8 所 示 ， 我 们 以 Trust 安全 区 域 到 Untrust 安全 区 域 的 域 间 关 系 为 例 ， 给 出 融 
合 UTM 的 安全 策略 的 配置 逻辑 。 

配置 融合 UTM 的 安全 策略 时 ， 在 策略 中 直接 配置 条 件 和 动作 。 如 果 需 要 对 报 文 进 
行 UTM 检测 ， 还 必须 配置 UTM 策略 ， 然 后 在 动作 为 允许 通过 的 安全 策略 中 引用 UTM 
策略 。 例 如 ， 要 求 在 Trust 安全 区 域 到 Untrust 安全 区 域 的 方向 上 ， 拒 绝 源 地 址 是 
192.168.0.100 的 报 文通 过 ; 允许 源 地 址 是 192.168.0.0/24 网 段 ， 目 的 地 址 是 172.16.0.0/24 
网 段 的 报 文通 过 ， 配 置 如 下 。 
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融合 UTM 的 安全 策略 


条 件 动作 


| [ 。 源 地 址 上 目的 地 址 | 服务 集 | 时 间 段 | 用 户 多 许 /拒绝 


、 
1 
人 
1 


条 件 动作 


源 地 址 | 上 目的 地 址 | 服务 集 | 时 间 段 | 用 户 允许 /拒绝 


、 
0 
1 
1 


一 
上 
上 
0 
1 


上 
上 
J 





2-8 融合 UTM 的 安全 策略 配置 逻辑 


2.2.3 ”第 三 阶段 : 一 体 化 安全 策略 


网 络 高 速 发 展 ， 应 用 不 断 增 多 ， 协 议 的 使 用 方式 和 数据 的 传输 方式 已 经 发 生 改 变 ， 
网 络 蠕虫 、 僵 尸 网 络 以 及 其 他 基于 应 用 的 攻击 不 断 产生 。 传 统 防 火 墙 主要 基于 端口 和 协 
议 来 识别 应 用 ， 基 于 传输 层 的 特征 来 进行 攻击 检测 和 防护 ， 面 对 网 络 蠕虫 、 僵 尸 网 络 等 
威胁 将 不 再 具有 足够 的 防护 能 力 。 新 的 安全 需求 ， 推 动 下 一 代 防 火 墙 的 产生 ， 华 为 防火 
墙 与 时 俱 进 ， 安 全 策略 发 展 到 “一 体 化 ”安全 策略 的 新 阶段 。 目 前 USG6000 系列 防火 墙 
的 V100R001 版 本 采用 的 是 一 体 化 安全 策略 。 

所 谓 的 一 体 化 ， 主 要 包括 两 个 方面 的 内 容 : 其 一 是 配置 上 的 一 体 化 ， 像 反 病 毒 、 入 
侵 防御 、URL 过 滤 、 邮件 过 滤 等 安全 功能 都 可 以 在 安全 策略 中 引用 安全 配置 文件 来 实现 ， 
降低 了 配置 难度 ; 其 二 是 业务 处 理 上 的 一 体 化 ， 安 全 策略 对 报 文 进行 一 次 检测 ， 多 业务 
并 行 处 理 ， 大 幅度 提升 了 系统 性 能 。 
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如 图 2-9 所 示 , 一 体 化 安全 策略 除了 基于 传统 的 五 元 组 信息 之 外 , 还 能 够 基于 Application 
(应 用 )、Content (内容)、Time (时 间 )、User (用 户 )、Attack (威胁 )、Location (位 置 》 
6 个 维度 将 模糊 的 网 络 环境 识别 为 实际 的 业务 环境 ， 实 现 精准 的 访问 控制 和 安全 检测 。 


电 名 有 电 


也 Content 内 容 识别 


项 
用 户 识别 太 入 涝 各 


威胁 识别 


位 置 识别 





图 2-9 ”一体 化 安全 策略 的 识别 维度 


一 体 化 安全 策略 由 条 件 、 动 作 和 配置 文件 组 成 ， 如 图 2-10 所 示 ， 其 中 配置 文件 的 作 
用 是 对 报 文 进 行内 容 安全 检测 ， 只 有 动作 是 允许 通过 时 才能 够 引用 配置 文件 。 


一 体 化 安全 策略 





图 2-10 ”一体 化 安全 策略 构成 


与 前 两 个 阶段 的 安全 策略 相 比 ， 一 体 化 安全 策略 有 以 下 区 别 。 

。 安全 策略 基于 全 局 范围 ， 不 再 基于 安全 域 间 ， 安 全 区 域 只 作为 可 选 的 条 件 ， 可 同 
时 配置 多 个 安全 区 域 。 这 里 有 一 点 需要 特别 注意 ， 在 华为 USG6000 系列 防火 墙 
上 , 报 文 在 安全 区 域 之 内 流动 时 ， 默 认 情况 下 防火 墙 是 不 允许 其 通过 的 ， 如 果 想 
让 报 文 在 安全 区 域 之 内 正常 流动 , 必须 配置 域内 安全 策略 允许 报 文通 过 , 这 一 点 
与 前 两 个 阶段 的 防火 墙 的 处 理 方式 不 一 样 。 

。 安全 策略 中 的 缺 省 动作 代替 了 缺 省 包 过 滤 ， 全 局 生效 ， 不 再 区 分 域 间 。 
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配置 了 多 条 一 体 化 安全 策略 后 ， 防 火 墙 在 转发 报 文 时 会 按照 从 上 到 下 的 顺序 逐条 查 
找 安全 策略 。 如 图 2-11 所 示 ， 如 果 报 文 命中 了 某 一 条 安全 策略 ， 就 会 执行 该 安全 策略 中 
的 动作 ， 不 会 再 继续 向 下 查找 ， 如 果 报 文 没有 命中 某 条 安全 策略 ， 则 会 向 下 继续 查找 。 
如 果 所 有 的 策略 都 没有 命中 ， 则 执行 安全 策略 的 缺 省 动作 。 这 里 的 缺 省 动作 的 作用 与 前 
面 介绍 过 的 缺 省 包 过 滤 是 一 样 的 ， 只 不 过 在 下 一 代 防 火 墙 中 的 呈现 方式 是 安全 策略 的 缺 
省 动作 ， 配 置 的 时 候 也 是 在 安全 策略 中 配置 。 


1 动 


源 安全 区 域 目 的 安全 区 域 | 源 地 址 (地 区 )| 目 的 地 址 (地 区 )| 用 户 | 服务 | 应 用 | 时 间 段 | 允许 /拒绝 


动 
允许 /拒绝 | 





图 2-11 一 体 化 安全 策略 配置 逻辑 


下 面 给 出 了 一 体 化 安全 策略 的 配置 实例 ， 需 求 是 在 Trust 安全 区 域 到 Untrust 安全 区 
域 的 方向 上 上， 拒绝 源 地 址 是 192.168.0.100 的 报 文 通过 ;人 允许 源 地 址 是 192.168.0.0/24 网 
段 ， 目 的 地 址 是 172.16.0.0/24 网 段 的 报 文 通过 ， 配 置 如 下 。 
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ERWrpolicy-securigy-nale policy2] destination-address 172.16.0.0 24 

[FW-policy-security-rule-policy2] action permit 

通过 上 面 的 介绍 ， 相 信 大 家 对 华为 防火 墙 安全 策略 的 发 展 历程 有 了 一 定 的 了 解 。 本 
书后 面 的 内 容 中 ， 所 有 提 及 安全 策略 的 地 方 ， 将 会 采用 目前 比较 通用 的 第 二 阶段 的 安全 
策略 来 举例 ， 但 是 我 们 只 给 出 条 件 和 动作 ， 不 涉及 UTM 策略 的 配置 。 


2.3” ”Local 区 域 的 安全 策略 


网 络 中 的 一 些 业 务 需 要 经 过 防火 墙 转发 ， 还 有 一 些 业 务 是 需要 防火 墙 自身 参与 处 
理 。 例如, 管理 员 会 登录 到 防火 墙 上 进行 管理 、Internet 上 的 设备 或 用 户 会 与 防火 墙 建立 
VPN、 防 火 墙 和 路 由 器 之 间 会 运行 OSPF (Open Shortest Path First， 开 放 最 短路 径 优先 ) 
路 由 协议 、 防 火 墙 会 与 认证 服务 器 对 接 等 。 

这 些 业 务 如 果 想 要 正常 运行 ， 就 必须 在 防火 墙 上 配置 相应 的 安全 策略 ， 允 许 防 火 墙 
接收 各 个 业务 的 报 文 。 具 体 来 说 ， 就 是 要 在 防火 墙 的 Local 安全 区 域 与 业务 使 用 的 接口 
所 在 的 安全 区 域 之 间 配 置 安全 策略 。 

前 面 我 们 介绍 安全 策略 时 针对 的 都 是 穿 过 防火 墙 的 业务 报 文 ， 没 有 提 及 需要 防火 墙 
自身 处 理 的 报 文 ， 本 节 我 们 就 来 介绍 针对 这 类 报 文 如 何 配置 安全 策略 。 首 先 以 OSPF 路 
由 协议 为 例 ， 看 一 下 防火 墙 自身 是 如 何 处 理 业务 报 文 的 。 


2.3.1 针对 OSPF 协议 配置 Local 区 域 的 安全 策略 


我 们 使 用 一 台 USG9500 防火 墙 ( 软 件 版 本 为 V300R001) 和 两 台 路 由 器 搭建 一 个 简 
单 的 网 络 环境 ， 如 图 2-12 所 示 。 


[0 说 明 

本 节 验 证 的 是 防火 墙 本 身 参与 到 OSPF 路 由 计算 的 场景 ， 即 验证 防火 墙 接口 所 在 安全 
区 域 与 Local 区 域 之 间 如 何 配置 安全 策略 。 在 防火 墙 本 身 不 参与 OSPF 路 由 计算 ， 只 
是 透 传 OSPF 路 由 报 文 的 场景 中 ， 接 收 和 发 送 OSPF 报 文 的 两 个 接口 属于 不 同 的 安全 
区 域 时 ， 则 必须 配置 安全 策略 ,允许 OSPF 报 文通 过 。 


Untrust 


GE1/0/1 GEO/0/] -we GEO/0/2 GEO/0/| .=m 
192.168.0.1/24 192.168.0.2/24 fewat 0 192 168.1.1/24 192.168.1.2/24 (eat 





Routerl Router2 
防火 墙 : 
图 2-12 ”OSPF 组 网 示意 图 
防火 墙 的 配置 如 下 。 
[FW] interface GigabitEthernet1/0/1 


[FW-GigabitEthemet1/0/1] ip address 192.168.0.1 24 
{FW-GigabitEthernet1/0/1] quit 
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路 由 器 Router2 的 配置 如 下 。 





防火 墙 上 没有 开启 GE1/0/1 接口 所 















的 安全 策略 ， 这 两 个 区 域 之 间 不 允许 报 文通 过 。 
配置 完成 后 ， 我 们 在 防火 墙 上 使 用 display ospf peer 命令 查看 OSPF 的 邻接 关系 。 








ne en 


= 








display ospf peer 


ee 
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DR: 192.168.0.1 BDR: 192.168.0.2 MTU:0 
Dead timer due in 32 sec 

Neighbor is up for 00:00:00 

Authentication Sequence: [ 0] 


Neighbors 


Area 0.0.0.1 interface 192.168.1.1(GigabitEthernet0/0/2)'s neighbors 
Router ID: 192.168.1.2 Address: 192.168.1.2 GR State: Normal 
State: Full Mode:Nbris Slave Priority: 1 
DR: 192.168.1.2 BDR: 192.168.1.1 MTU:0 
Dead timer due in 32 sec 
Neighbor is up for 00:09:28 
Authentication Sequence: [ 0] ~ 


在 防火 墙 和 Routerl 上 看 到 的 OSPF 邻接 状态 都 为 ExStart。 根 据 图 2-13 所 示 的 OSPF 
邻接 关系 建立 过 程 示 意图 ， 我 们 发 现 OSPF 邻接 关系 没 建 立 起 来 的 原因 是 因为 防火 墙 和 
Routerl 之 间 没 有 成 功 交换 DD (Database Description〉 报 文 。 


防火 二 Routerl 


加 一 一 一 一 一 会 


Hello( DR=0.0.0.0, Neighbors Seen=0) 








Down Down 
Hello( DR=R2, Neighbors Seen=R1) J 
=x, I=1, M=]1, es 
ExStart DD( Seq=x, I=1, M=1, MS=1) 
DD( Seq=y, [=1, M=1, MS=1) 
I ExStart 
DD( Seq=y, 1=0, M=1, MS=0) 
Exchange 
D(Seq=y+1,1=0, M=1, MS=1) 
DI Segry BES Exchange 
DD( Seq=y+1, I=0, M=1, MS=0) 
Y 
DD( Seq=y+n, I[=0, M=0, MS=1 ) 
Loading DD( Seq=y+n, [=0, M=0, MS=0) 
LS Request 
Full 
LS Update 
Full LS Ack 





图 2-13 OSPF 邻接 关系 建立 过 程 示意 图 


此 时 ， 我 们 怀疑 有 可 能 是 防火 墙 丢弃 了 DD 报 文 。 在 防火 墙 上 使 用 display firewall 
statistic system discarded 命令 查看 丢 包 信息 。 
[FW] display firewall statistic system discarded 


Packets discarded statistic on slot 3 CPU 3 
Total packets discarded : 31 


Total deny bytes discarded : 1,612 
Default deny packets discarded : 31 
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上 面 的 信息 表示 缺 省 包 过 滤 将 报 文 丢弃 ， 因 为 我 们 没有 配置 安全 策略 允许 DD 报 文 
通过 ， 所 以 该 报 文 命中 缺 省 包 过 滤 后 被 丢弃 。 同 时 被 丢弃 报 文 的 个 数 还 在 不 断 增长 ， 说 
明 OSPF 模块 在 不 断 地 尝试 发 送 DD 报 文 ， 但 都 被 缺 省 包 过 滤 丢 弃 了 。 

接 下 来 我 们 在 防火 墙 上 开启 Local 区 域 和 Untrust 区 域 之 间 的 安全 策略 ， 人 允许 OSPF 
报 文通 过 。 需 要 注意 的 是 , 因为 防火 墙 既 要 发 送 DD 报 文 又 要 接收 DD 报 文 ,所 以 Inbound 
和 Outbound 方向 上 的 安全 策略 都 要 开启 ， 如 下 。 


全 汪 窍 门 
这 里 为 了 精确 匹配 OSPF 协议 ， 我 们 使 用 了 安全 策略 提供 的 ospf 服务 集 ， 如 果 防 火 墙 中 没 
有 提供 这 个 服务 集 ， 我 们 可 以 自己 创建 一 个 服务 集 ， 协 议 号 设置 为 89 即 可 。 





然后 分 别 在 防火 墙 和 有 Routerl 1 上 使 用 display ospf peer 才 命令 查看 OSPF 的 邻接 关系 
(可 能 需要 等 待 几 分 钟 的 时 间 才 会 出 现下 面 的 结果 , 或 者 我 们 可 以 使 用 reset ospf process 
和 人 OSPF a 就 能 NO 
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Area 0.0.0.1 interface 192.168.1.1(GigabitEthernet0/0/2)'s neighbors 
Router ID: 192.168.1.2 Address: 192.168.1.2 GR State: Normal 
State: Full Mode:Nbris Slave Priority: 1 
DR: 192.168.1.2 BDR: 192.168.1.1 MTU:0 
Dead timer due in 32 sec 
Neighbor is up for 01:35:43 
Authentication Sequence: [0 ] 


此 时 可 以 看 到 OSPF 领 接 建立 成 功 ， 同时 防火 墙 上 已 经 存在 了 通过 OSPF 路 由 协议 
学 习 到 的 去 往 192.168.1.0/24 这 个 网 段 的 路 由 。 

[FW] display ip routing-table protocol ospf 

Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 
| Destinations : 2 Routes :2 


OSPF routing table status <Active> 
Destinations : 1 Routes : 1 


Destination/Mask Proto Pre Cost Flags NextHop Interface 





训 上 所 坟 我 们 十 在 移 册 汶 于 内 各 08 二 光绪 中 半 丰 请 安 闪 区 二 和 Taoa 
区 域 之 间 的 安全 策略 ， 人 允许 OSPF 报 文通 过 ， 这 样 防火 墙 才能 和 相连 的 设备 正常 建立 邻 
接 关 系 。 

实际 上 ， 我 们 还 可 以 从 单 播报 文 和 组 播报 文 的 角度 来 考虑 这 个 问题 。 对 于 防火 墙 来 
说 ， 一 般 情况 下 ， 单 播报 文 是 受 安全 策略 控制 ， 所 以 需要 配置 安全 策略 允许 报 文通 过 ; 
而 组 播报 文 不 受 安全 策略 控制 ， 也 就 不 需要 配置 相应 的 安全 策略 。 

那么 在 OSPF 中 ,哪些 报 文 是 单 播 哪些 报 文 是 组 播 昵 ?对 与 不 同 的 网 络 类 型 ，OSPF 
报 文 的 发 送 形式 也 不 相同 ， 如 表 2-1 所 示 。 
全 = 窍门 
我 们 可 以 在 接口 上 执行 ospf network-type 命令 来 修改 OSPF 的 网 络 类 型 。 


| 表 2-1 OSPF 网 络 类 型 与 报 文 类 型 





组 播 

组 播 

单 播 

单 播 

从 表 中 可 以 看 出 , 网 络 类 型 是 Broadcast 类 型 时 ， OSPF 报 文中 的 DD 报 文 和 LSR 报 

文 是 单 播报 文 ， 需 要 配置 安全 策略 ; 网 络 类 型 是 P2P 时 ，OSPF 报 文 都 是 组 播报 文 ， 因 
此 无 需 配 置 安全 策略 。NBMA 和 P2MP 类 型 也 是 同 理 。 在 实际 网 络 环境 中 ， 如 果 防 火 墙 
上 的 OSPF 运行 状态 不 正常 ， 大 家 也 可 以 从 安全 策略 这 个 角度 入 手 ， 检 查 是 不 是 由 于 没 
有 配置 安全 策略 允许 报 文通 过 所 导致 的 。 





46 华为 防火 墙 技术 漫谈 


除了 OSPF 之 外 ， 还 有 一 些 业务 也 是 需要 防火 墙 自身 参与 处 理 的 ， 同 样 需要 在 防火 
墙 上 配置 Local 区 域 的 安全 策略 允许 其 报 文通 过 。 下 面 我 们 就 针对 这 些 业 务 ， 给 出 安全 
策略 的 配置 方法 。 


2.3.2 ”哪些 协议 需要 在 防火 墙 上 配置 Local 区 域 的 安全 策略 


如 图 2-14 所 示 ， 以 USG2200/5000 系列 防火 墙 为 例 ， 需 要 防火 墙 自身 参与 处 理 的 业 
务 有 管理 员 登 录 到 防火 墙 、 防 火 墙 与 认证 服务 器 对 接 、Internet 上 的 设备 或 用 户 与 防火 墙 
建立 VPN、 防 火 墙 和 路 由 器 之 间 运 行 OSPF 路 由 协议 等 。 


CO 说 明 


此 处 提 到 的 GRE VPN、L2TP VPN、IPSec VPN、SSL VPN 等 功能 我 们 将 会 在 后 文中 
逐一 介绍 o 





2-14 防火墙 自身 参与 处 理 的 常见 业务 类 型 


针对 这 些 业务 配置 安全 策略 时 ， 既 要 保证 业务 正常 运行 ， 又 要 确保 防火 墙 自身 的 安 
全 ， 所 以 我 们 必须 在 安全 策略 中 指定 精细 化 的 匹配 条 件 。 但 如 何 精确 制定 匹配 条 件 是 个 
难题 ， 这 就 需要 分 析 各 种 业务 的 源 地 址 、 目 的 地 址 ， 协 议 类 型 等 信息 。 

下 面 强 叔 就 结合 图 2-14 中 的 业务 , 给 出 对 应 的 匹配 条 件 , 方便 大 家 在 实际 网 络 环 境 
中 根据 业务 类 型 来 配置 安全 策略 ， 如 表 2-2 所 示 。 


表 2-2 针对 不 同 协议 或 应 用 设置 安全 策略 中 的 匹配 条 件 


telnet 
Telnet Trust Local | 192.168.0.2 | 192.168.0.1 或 TCP+ 目 的 端口 23 
的 区 局 两 者 选 其 一 
ssh 
SSH Trust Local 192.168.0.2 | 192.168.0.1 或 TCP+ 目 的 端口 22 
两 者 选 其 一 
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〈 续 表 ) 














ftp 或 TCP+ 目 的 端口 21 


Trust | Local | 192.168.0.2 | 192.168.0.1 
To | om! | 016802 | 016801 | MD 
http 或 TCP+ 目 的 端口 80 

Trust | Local | 192.168.0.2 | 192.168.0.1 
本 本 本 
https 或 TCP+ 目 的 端口 443 

HTTPS Trust | Local | 192.168.0.2 | 192.168.0.1 . 
本 区 区 人 末尾 


radius 或 UDP+ 目 的 端口 
RADIUS Local DMZ 172.16.0.1 172.16.0.2 1645/1646/1812/1813* 
两 者 选 其 一 
发 送 OSPF 协商 报 文 
(outbound 方向 ) Local | Untrust 1.1.1.2 ospf 
接收 OSPF 协商 报 文 
(inbound 方向 ) Untrust Local 144.1.2 1.1.1.1 ospf 


发 起 GRE VPN 隧道 
建立 请 求 Local | Untrust 1.1.1.1 2.22.2 gre 
Coutbound 方向 ) 
接收 GRE VPN 隧道 
建立 请 求 Untrust | Local 22.2.2 1.1.1.1 gre 
(inbound 方向 ) 
起 L2TP VPN 
0 建立 请 Wi Local | Untrust 2222 | 2 全 贡 UDP+ 有 前 灿 中 1701 
(outbound 方向 ) 两 者 选 其 一 
12tp 或 UDP+ 目 的 端口 1701 


接收 L2TP VPN 隧道 
建立 请 求 Untrust | Local 2.2.22 eT 
(inbound 方向 ) 两 者 选 其 
手工 方式 : 无 需 配 置 
发 起 IPSec VPN 隧道 IKE 方式 ( 非 NAT 穿越 环境 ): 
建立 请 求 Local | Untrust py UDP+ 目 的 端口 500 
(outbound 方向 ) IKE 方式 (NAT 穿越 环境 ): 
UDP+ 目 的 端口 500 和 4500 





FTP 





HTTP 
































手工 方式 : AH/ESP 
接收 IPSec VPN 隧道 IKE 方式 ( 非 NAT 穿越 环境 ): 
建立 请 求 Untrust | Local 222.2 
(inbound 方向 ) 


AH/ESP、UDP+ 目 的 端口 500 
IKE 方式 (NAT 穿越 环境 ): 
UDP+ 目 的 端口 500 和 4500 
*#: 这 里 只 给 出 了 缺 省 情况 ， 具 体 的 端口 号 请 以 RADIUS 服务 器 的 实际 情况 为 准 
**: NAT 穿越 环境 中 ， 源 地 址 和 目的 地 址 可 能 是 公 网 地 址 或 私 网 地 址 ， 请 以 实际 情况 为 准 
*##*#: 如 果 设 备 同时 支持 HTTPS 和 SSL VPN， 两 者 使 用 的 端口 请 以 实际 支持 情况 为 准 





可 靠 模 式 : 
TCP+ 目 的 端口 443*** 
快速 模式 : 
UDP+ 目 的 端口 443 
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针对 管理 员 登 录 防 火 墙 时 配置 的 安全 策略 ， 这 里 再 补充 说 明 一 下 。 上 面 我 们 为 了 介 
绍 如 何 配置 安全 策略 的 匹配 条 件 ， 给 出 的 例子 是 管理 员 通 过 GE0/0/1 接口 登录 USG2000/ 
5000 防火 墙 。 这 种 情况 下 就 需要 配置 Trust 安全 区 域 到 Local 安全 区 域 的 安全 策略 。 其 
实在 缺 省 情况 下 ， 不 同型 号 的 防火 墙 都 提供 了 默认 的 登录 方式 ， 管 理 员 可 以 通过 特定 的 
接口 登录 到 防火 墙 上 ， 不 需要 配置 安全 策略 ， 具 体 情况 如 表 2-3 所 示 。 





表 2-3 缺 省 情况 下 防火 墙 支持 的 登录 方式 
USG2100 LAN (GE0/0/0~GE0/0/7) Telnet 或 HTTP 
USG2200/5000 管理 口 〈GE0/0/0) Telnet 或 HTTP 
USG6000 管理 口 (GE0/0/0) HTTPS 
USG9500 管理 口 (GE0/0/0) HTTPS 
2.4 ASPF 


通过 前 面 的 介绍 ， 大 家 肯定 对 安全 策略 有 了 一 定 的 了 解 ， 大 家 可 能 也 会 认为 ， 只 要 
把 安全 策略 配置 好 了 ， 就 可 以 一 劳 永 逸 万 事 无 忧 。 但 是 有 些 协议 变化 莫 测 ， 比 如 最 常用 
的 FTP 协议 ， 它 的 报 文 交互 过 程 就 暗藏 玄机 ， 让 安全 策略 防不胜防 。 这 种 情况 下 ， 单 凭 
安全 策略 一 己 之 力 无 法 完全 掌控 报 文 的 转发 ， 此 时 就 需要 一 个 神秘 助手 出 马 相 助 了 。 

下 面 我 们 就 以 FTP 协议 为 例 , 在 剖析 FTP 协议 工作 原理 的 过 程 中 , 为 大 家 揭 开 这 个 
神秘 助手 的 面纱 。 


2.4.1 帮助 FTP 数据 报 文 穿越 防火 墙 


我 们 先 用 eNSP 模拟 一 个 FTP 客户 端 访问 FTP 服务 器 的 组 网 ， 如 图 2-15 所 示 , FTP 
客户 端 和 FTP 服务 器 与 防火 墙 直接 相连 ，FTP 客户 端 属于 Trust 安全 区 域 ，FTP 服务 器 
属于 Untrust 安全 区 域 。 


Trust 





FTP Client , FTP Server 
192.168.0.1 172.16.0.1 


图 2-15 FTP 客户 端 访问 FTP 服务 器 组 网 图 


如 果 想 让 FTP 客户 端 访问 FTP 服务 器 , 防火 墙 上 的 安全 策略 该 怎么 配置 呢 ? 大 家 肯 
定 会 说 ， 这 还 不 容易 ， 在 Trust 安全 区 域 到 Untrust 安全 区 域 之 间 ， 人 允许 特定 源 /目的 地 址 
的 FTP 报 文通 过 就 可 以 了 。 


[FW] policy interzone trust untrust outbound 
~ (EW.-polioy -interzone trust unteust-ontboun 


[FW-policy-interzone-trust-untn und-1] policy destination 172.16.0.10 
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[FW-policy-interzone-trust-untrust-outbound-1] policy service service-set ftp 
~ [FW-policy-interzone-trust-untrust-outbound-1] action permit 


配置 完成 后 ， 在 eNSP 中 使 用 FTP 客户 端 访问 FTP 服务 器 ， 无 法 访问 ! 回来 头 来 检 
查 配 置信 息 ， 发 现 安全 策略 policy 1 有 被 命中 的 统计 信息 ， 说 明 这 条 策略 已 经 生效 。 
‘ [FW] display pollcy interzone trust untrust outbhound 
policy interzone trust untrust outbound 
firewall default packet-filter is deny 
policy 1 (1 times matched) : 
action permit 
policy service service-set ftp (predefined) 


~ policy source 192.168.0.10 
‘policy destination 172. 16.0.10 


查看 会 话 表 发 现 防火 墙 上 已 经 成 功 建立 了 会 话 。 


[FW] display firewall session table 

Current Total Sessions :1 : 

ftp VPN:public --> public 192.168.0.1:2049-->172.16.0.1:21 

看 起 来 一 切 都 应 该 没有 问题 ， 那 为 什么 访问 失败 了 呢 ? 

这 就 要 从 FTP 协议 的 特殊 之 处 讲 起 ，FTP 协议 是 一 个 典型 的 多 通道 协议 ,在 其 工作 
过 程 中 ，FTP 客户 端 和 FTP 服务 器 之 间 将 会 建立 两 条 连接 : 控制 连接 和 数据 连接 。 控 制 
连接 用 来 传输 FTP 指令 和 参数 ， 其 中 就 包括 建立 数据 连接 所 需要 的 信息 ; 数据 连接 用 来 
获取 目录 及 传输 数据 。 

根据 数据 连接 的 发 起 方式 ，FTP 协议 分 为 两 种 工作 模式 : 主动 模式 (PORT 模式 ) 
和 被 动 模式 (PASYV 模式 )。 主 动 模式 中 ，FTP 服务 器 主动 向 FTP 客户 端 发 起 数据 连接 ; 
被 动 模式 中 ，FTP 服务 器 被 动 接收 FTP 客户 端 发 起 的 数据 连接 。 

工作 模式 在 FTP 客户 端 上 是 可 以 设置 的 ， 这 里 我 们 使 用 的 是 主动 模式 ， 如 图 2-16 
所 示 。 























图 2-16 FTP 客户 端 上 的 工作 模式 设置 
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下 面 我 们 就 来 看 一 看 ，FTP 协议 工作 在 主动 模式 下 的 交互 流程 ， 如 图 2-17 所 示 。 


FTP Client FTP Server 






控制 连接 的 
TCP 三 次 握手 


SYN+ACK | 连接 的 
TCP 三 次 握手 
ACK 
媳 - 一 
LIST Command 
可 > 
传输 数据 
------ > ”控制 连接 
一 一 一 > 数据 连接 


2-17 ”主动 模式 下 FTP 协议 的 交互 流程 


首先 FTP 客户 端 使 用 随机 端口 xxxx 向 FTP 服务 器 的 21 端口 发 起 连接 请 求 建立 控制 
连接 ， 然 后 使 用 PORT 命令 协商 两 者 进行 数据 连接 的 端口 号 ， 协 商 出 来 的 端口 是 yyyy。 
然后 FTP 服务 器 主动 向 FTP 客户 端的 yyyy 端口 发 起 连接 请 求 ， 建 立 数据 连接 。 数 据 连 
接 建 立成 功 后 ， 才 能 进行 数据 传输 。 

我 们 只 配置 了 允许 FTP 客户 端 访问 FTP 服务 器 的 安全 策略 , 即 控制 连接 能 成 功 建立 。 
但 是 当 FTP 服务 器 访问 FTP 客户 端 yyyy 端口 的 报 文 到 达 防 火 墙 后 ， 对 于 防火 墙 来 说 ， 这 
个 报 文 不 是 前 一 条 连接 的 后 续 报 文 ， 而 是 代表 着 一 条 新 的 连接 。 要 想 使 这 个 报 文 顺利 到 达 
FTP 客户 端 , 防火 墙 上 就 必须 配置 了 安全 策略 允许 其 通过 , 但 是 我 们 没有 配置 FTP 服务 器 
到 FTP 客户 端 这 个 方向 上 的 安全 策略 ， 所 以 该 报 文 无 法 通过 防火 墙 ， 导 致 FTP 访问 失败 。 

如 何 解决 这 个 问题 呢 ? 聪明 的 读者 肯定 会 马上 想到 , 在 FTP 服务 器 到 FTP 客户 端 这 
个 方向 上 也 配置 一 条 安全 策略 就 行 了 吧 ? 对 ， 这 是 一 种 方法 ， 但 是 数据 连接 使 用 的 端口 
是 在 控制 连接 中 临时 协商 出 来 的 ， 具 有 随机 性 ， 我 们 无 法 精确 预知 ， 所 以 只 能 开放 客户 
端的 所 有 端口 ， 这 样 就 会 给 FTP 客户 端 带 来 安全 隐患 。 要 是 防火 墙 能 记录 这 个 端口 ， 然 
后 自动 开启 FTP 服务 器 到 FTP 客户 端的 安全 策略 就 好 了 ! 

幸好 , 防火 墙 已 经 考虑 到 了 这 个 问题 , 这 个 时 候 就 要 有 请 安全 策略 的 神秘 助手 ASPF 
(Application Specific Packet Filter， 针 对 应 用 层 的 包 过 滤 ) 出 场 亮 相 了 。 单 从 名 字 来 看 ， 
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ASPF 主要 是 盯 着 报 文 的 应 用 层 信息 来 做 文章 ， 其 原理 是 检测 报 文 的 应 用 层 信息 ， 记 录 
应 用 层 信息 中 携带 的 关键 数据 ， 使 得 某 些 在 安全 策略 中 没有 明确 定义 要 放行 的 报 文 也 能 
够 得 到 正常 转发 。 

记录 应 用 层 信息 中 关键 数据 的 表 项 称 为 Server-map 表 ， 报 文 命中 该 表 后 ， 不 再 受 安 
全 策略 的 控制 , 这 相当 于 在 防火 墙 上 开启 了 一 条 “隐形 通道 ”。 当 然 这 个 通道 不 是 随意 开 
启 的 ， 是 防火 墙 分 析 了 报 文 的 应 用 层 信息 之 后 ， 提 前 预测 到 后 面 报 文 的 行为 方式 ， 所 以 
才 打 开 了 这 样 的 一 个 通道 。 

那么 Server-map 表 和 会 话 表 有 什么 区 别 呢 ?” 首 先 , 会 话 表 中 的 会 话 是 通信 双方 的 连 
接 在 防火 墙 上 的 具体 体现 ， 其 作用 是 记录 通信 双方 的 连接 状态 。 防 火 墙 为 某 条 连接 的 首 
包 生 成 会 话 后 ， 该 连接 的 后 续 包 命中 会 话 即 可 直接 转发 ， 不 再 受 安全 策略 控制 。Server- 
map 表 记 录 的 不 是 当前 连接 的 信息 ， 而 是 防火 墙 分 析 当 前 连接 的 报 文 后 得 到 的 信息 ， 该 
信息 预示 了 即将 到 来 的 报 文 的 特征 ， 防 火 墙 通过 Servermap 表 提 前 预测 报 文 的 行为 方式 。 

其 次 ， 从 处 理 流 程 看 ， 防 火 墙 收 到 报 文 后 ， 先 检查 报 文 是 否 命中 会 话 表 ， 如果 命中 ， 
说 明 该 报 文 是 后 续 包 ， 直 接 转 发 。 如 果 报 文 没 有 命中 会 话 表 ， 说 明 该 报 文 是 首 包 ， 接 下 
来 检查 报 文 是 否 命中 Server-map 表 ， 如 本 节 介 绍 的 ASPF 生成 的 Server-map 表 ， 报 文 命 
中 后 就 不 再 受 安全 策略 的 控制 。 当 然 ， 防 火 墙 最 后 还 是 会 为 该 报 文生 成 会 话 表 。 

Server-map 表 和 会 话 表 作为 防火 墙 上 的 重要 表 项 , 两 者 作用 不 同 , 也 不 能 相互 替代 。 


[0 说 明 
除了 ASPF 功能 之 外 ，NAT 功能 也 会 生成 Server-map 表 ， 详 细 内 容 我 们 将 在 “第 4 章 
NAT” 中 介绍 。 


开启 ASPF 功能 的 操作 很 简单 ， 比 如 ， 在 Trust 和 Untrust 安全 域 间 开启 FTP 协议 的 
ASPF 功能 。 


[0 说 明 


在 安全 区 域 的 域内 也 可 以 开启 FTP 协议 的 ASPF 功能 。 


[FW] firewall interzone trust untrust 
[FW-interzone-trust-untrust] detect ftp 
然后 我 们 再 次 验证 , FTP 客户 端 可 能 正常 访问 FTP 服务 器 , 在 防火 墙 上 使 用 display 
firewall server-map 命令 查看 记录 FTP 数据 连接 的 Server-map 表 项 。 
[FW] display firewall servermap 
servermap iem(s) 
ASPE, 172.16.0.1 -> 192.168.0.1:2052[any],Zone: — | 
~ Protocol: tcp(Appro: ftp-data), Left- -Time: 00:00:57, Addr-Pool: --- 
VPN: public -> public 2 
可 以 看 到 ， 防 火 墙 上 生成 了 一 条 Server-map 表 项 ，FTP 服务 器 访问 FTP 客户 端的 报 
文 , 正 是 命中 了 这 条 表 项 后 直接 被 转发 , 就 不 用 再 为 其 配置 安全 策略 了 。 这 条 Server-map 
表 项 不 会 永远 存在 ， 老 化 时 间 到 期 之 后 就 会 被 删除 ， 这 就 确保 了 这 条 “隐形 通道 ”不 会 
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永久 开启 ， 保 证 了 安全 性 。 
在 防火 墙 上 查看 会 话 表 , 发 现 防 火 墙 已 经 为 FTP 服务 器 访问 FTP 客户 端的 数据 连接 
建立 了 会 话 。 


[FW] display firewall session table 
Current Total Sessions : 2 
一 > Ce 192. 168.0. 1:2051+->172. 16.0.1:21 





pe 2-18 所 示 ， 开启 了 了 ASPF 后 ， WE FTP ,的 控制 连接 阶段 生成 了 Server-map 
表 ， 保 证 后 续 FTP 数据 连接 可 以 成 功 建立 。 


FTP Client FTP Server 


| 控制 连接 的 
TCP 三 次 握手 






控制 连接 
交互 PORT 命令 





SYN+ACK SYN+ACK | | 数据 连接 的 
ACK ACK TCP 三 次 握手 
LIST Command : LIST Command 
= > | ------------------------ 知 
传输 数据 传输 数据 
ws > ”控制 连接 
一 一 > 数据 连接 
Xxxx/yyyy 随机 端口 


图 2-18 FTP 协议 的 ASPF 处 理 过 程 


综 上 所 述 ，ASPF 可 以 根据 报 文 应 用 层 中 的 信息 动态 生成 Server-map 表 项 ， 既 简化 
了 安全 策略 的 配置 又 确保 了 安全 性 。 我 们 可 以 把 ASPF 看 作 是 一 种 穿越 防火 墙 的 技术 ， 
ASPF 生成 的 Server-map 表 项 ， 相 当 于 在 防火 墙 上 打开 了 一 个 通道 ， 使 类 似 FTP 的 多 通 
道 协议 的 后 续 报 文 不 受 安全 策略 的 控制 ， 利 用 该 通道 就 可 以 穿越 防火 墙 。 

除了 FTP 协议 之 外 ,防火 墙 还 支持 针对 其 他 多 通道 协议 的 ASPF 功能 , 如 SIP(Session 
Initiation Protocol， 会 话 发 起 协议 )、H.323、MGCP (Media Gateway Control Protocol， 媒 
体 网 关 控 制 协议 ) 等 ， 具 体 的 支持 情况 请 参见 防火 墙 的 产品 手册 。 


2.4.2 ”帮助 QQ/MSN 报 文 穿越 防火 墙 


防火 墙 还 支持 对 两 个 常见 的 网 络 聊 天 协议 QQ/MSN 进行 ASPF 检测 , 其 实现 过 程 与 
FTP 协议 稍 有 不 同 ， 下 面 我 们 就 来 介绍 针对 QQ/MSN 协议 的 ASPF。 

通常 情况 下 ， 我 们 使 用 QQ/MSN 传输 的 纯 文 本 消息 都 是 通过 QQ/MSN 的 服务 器 中 
转 ， 而 语音 /视频 消息 会 消耗 很 多 资源 ， 不 能 通过 QQ/MSN 服务 器 中 转 ， 只 能 由 通信 双 
方 直接 建立 连接 来 传输 ， 如 图 2-19 所 示 。 
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Trust 







QQIMSN Client 
192.168.0.1 


QQ/MSN Client 


一 一 > 纯 文本 消息 
3552 > 语音 /视频 消息 
图 2-19 QQ/MSN 组 网 示意 图 


我 们 在 防火 墙 上 一 般 只 配置 了 Trust 安全 区 域 到 Untrust 安全 区 域 的 安全 策略 ， 人 允许 
内 网 的 QQ/MSN 客户 端 访问 外 网 ， 但 是 没有 配置 允许 外 网 的 QQ/MSN 客户 端 访问 内 网 
的 安全 策略 ， 这 就 导致 外 网 的 QQ/MSN 客户 端 无 法 向 内 网 主动 发 起 语音 /视频 消息 的 连 

为 了 保证 外 网 QQ/MSN 客户 端的 连接 请 求 可 以 正常 通过 防火 墙 ， 以 QQ 为 例 ，QQ 
客户 端 访问 QQ 服务 器 后 ，ASPF 会 生成 如 下 Server-map 表 项 〈 此 表 项 仅 作为 示例 ， 实 
NT 该 全 和 息 )。 





表 项 中 的 源 地 址 为 ANY, 即 任意 源 地 址 , 这 样 任意 用 户 在 表 项 老化 时 间 到 期 之 前 都 
可 以 主动 向 192.168.0.1 的 53346 端口 发 起 连接 ， 该 连接 请 求 可 以 正常 通过 防火 墙 。 表 项 
中 包括 了 目的 地 址 (192.168.0.1)、 目 的 端口 (53346)〉 和 协议 类 型 (udp) 三 个 元 素 ， 所 
以 也 叫 作 “三 元 组 ”Server-map 表 项 。 


[0 说明 

上 述 表 项 的 类 型 是 STUN ( Simple Traversal of UDP Through Network Address Translators， 
UDP 对 NAT 的 简单 穿越 ) 协议 ,除了 QQ 之 外 ，MSN 和 下 面 将 要 介绍 的 用 户 自 定义 
协议 生成 的 Server-map 表 项 的 类 型 都 是 STUN， 也 就 是 说 ， 防 火 墙 会 把 QQ/MSN/ 用 户 自 
定义 都 认为 是 STUN 类 型 的 协议 ， 关 于 STUN 的 介绍 我 们 在 “4.4 NAT ALG” 中 再 讲 。 


开启 QQ/MSN 协议 的 ASPF 功能 的 命令 与 FTP 类 似 ， 在 Trust 和 Untrust 安全 域 间 
开启 QQ 和 MSN 协议 的 ASPF 功能 。 


[| 说 明 


在 安全 区 域 的 域内 也 可 以 开启 QQ/MSN 协议 的 ASPF 功能 。 


[FW] firewall interzone trust untrust 
[FW-interzone-trust-untrust] detectqq 
[FW-interzone-trust-untrust] detect msn 
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2.4.3 ”帮助 用 户 自 定义 协议 报 文 穿 越 防火 墙 


对 于 不 在 detect 命令 支持 协议 范围 内 的 某 些 特殊 应 用 ， 防 火 墙 提供 了 用 户 自 定义 协 
议 〈User-defined) 的 ASPF 功能 。 在 了 解 该 应 用 的 协议 原理 的 前 提 下 ， 我 们 可 以 通过 定 
义 ACL 来 识别 该 应 用 的 报 文 ，ASPF 会 自动 为 其 创建 三 元 组 Server-map 表 项 ， 保 证 该 应 
用 的 报 文 顺 利通 过 防火 墙 。 需 要 注意 的 是 ， 配 置 ACL 时 ，ACL 规则 应 配置 得 越 精确 越 
好 ， 以 免 影响 其 他 业务 。 

目前 最 典型 的 应 用 就 是 TFTP 协议 ， 如 图 2-20 所 示 。 


Trust Untrust 
Thy Ce TFTP Server 


192.168.0.1 





防火 墙 
图 2-20 TFTP 组 网 示意 图 


TFTP 协议 的 控制 通道 和 数据 通道 共用 TFTP 客户 端的 端口 号 ,TFTP 客户 端 向 TFTP 
后 和 汪汪 本 机 加 后， ASPF 会 生成 如 下 Server-map 表 硕 。 。 





CO | 

其 中 92.1680 了 为 4EEE 汐 最 的 正好 直 ，5599 为 TEIP 活 户 湾 条 弄 的 交 口 该 
端口 也 是 TFTP 客户 端 向 TFTP 服务 器 发 起 访问 时 所 使 用 的 端口 。 这 样 ， 任 意 地 址 在 表 
项 老化 时 间 到 期 之 前 都 可 以 主动 向 192.168.0.1 的 55199 端口 发 起 连接 ,保证 了 TFTP 报 
文 可 以 正常 通过 防火 墙 。 

开启 用 户 自 定义 协议 的 ASPF 功能 的 命令 也 很 简单 ， 配 置 示例 如 下 。 不 同型 号 的 防 


火 墙 产品 上 的 支持 情况 和 命令 格式 略 有 不 同 ， 请 以 产品 手册 为 准 。 





[FW: ed a aes or Mes 000 oud 

- 于 QQ/MSN/User-defined 协议 来 说 ，ASPF 生成 的 三 元 组 ot 表 项 昌 然 保 
证 了 各 个 业务 的 正常 运行 , 但 是 也 开放 了 对 端口 的 访问 权限 , 并 且 命 中 三 元 组 Server-map 
表 项 的 报 文 不 受 安全 策略 控制 ， 存 在 一 定 的 安全 隐患 。 

为 此 ， 防 火 墙 又 提供 了 针对 ASPF 的 安全 策略 〈 包 过 滤 )， 对 命中 三 元 组 Server-map 
表 项 的 报 文 再 进行 过 滤 ， 实 现 更 精细 化 的 控制 。 例 如 ， 通 过 上 面 的 配置 生成 三 元 组 
Server-map 表 项 后 ， 要 求 对 命中 该 表 项 的 报 文 进一步 控制 ， 要 求 只 有 源 地 址 是 
EL 
a | 
9 0 ie permit ouree 181 dadeton G0 | 

[FW-acladv-3001]qult ， oo 
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[FW-interzone-trust-untrust] aspf packet- filter 3001 outbound 

通过 上 面 的 介绍 ， 我 们 发 现 一 个 共同 点 ， 无 论 是 FTP 这 样 的 多 通道 协议 ， 还 是 
QQ/MSN 协议 或 User-defined 协议 ，ASPF 功能 都 会 生成 Server-map 表 项 ， 帮 助 这 些 协 
议 的 报 文 穿越 防 火 墙 ， 保 证 基于 这 些 协议 的 业务 可 以 正常 运行 。 

此 外 ， 防 火 墙 上 的 ASPF 功能 还 可 以 阻 断 HTTP 协议 中 的 有 害 插件 。HTTP 协议 中 
会 包含 Java 和 ActiveX 插件 , 它们 非常 容易 被 制作 成 木马 和 病毒 , 危害 内 网 主机 的 安全 。 
Java 和 ActiveX 插件 通常 被 包含 在 HTTP 报 文 的 载荷 中 进行 传输 ， 如 果 只 检查 HTTP 报 
文 头 信 息 ， 无 法 将 其 识别 出 来 。 所 以 必须 通过 ASPF 来 对 HTTP 报 文 的 载荷 信息 进行 检 
测 ， 识 别 并 阻 断 Java 和 ActiveX 插件 ， 保 护 内 网 主机 。 

阻 断 HITP 协议 中 有 害 插 件 的 配置 也 很 简单 ， 在 安全 区 域 的 域 间 或 域内 执行 detect 
activex-blocking 或 detect java-blocking 命令 即 可 。 不 同型 号 的 防火 墙 产品 上 的 支持 情况 
和 命令 格式 略 有 不 同 ， 请 以 产品 手册 为 准 。 


2.5 配置 注意 事项 和 故障 排除 指导 


2.5.1 ”安全 策略 


实际 网 络 环境 中 ， 安 全 策略 是 一 个 常见 的 故障 点 ， 很 多 时 候 都 是 由 于 安全 策略 拒绝 

报 文通 过 导致 业务 不 通 。 常 用 的 手段 是 通过 display firewall statistic system discard 命令 
查看 防火 墙 的 丢 包 统计 信息 ， 根 据 显 示 信 息 来 判断 是 否 涉及 安全 策略 ， 如 下 所 示 。 

和 eu dincarded stntislic 

: ， | np -lo 





其 中 ,“ACL deny packets discarded” 表 示 安 全 策略 将 报 文 丢弃 ; “Default deny 
packets discarded” 表 示 缺 省 包 过 滤 将 报 文 丢 弃 。 如 果 防 火 墙 丢 包 统计 信息 中 出 现 上 述 显 
示 信 息 ， 就 说 明 安全 策略 导致 丢 包 ， 此 时 就 应 该 从 安全 策略 入 手 排除 故障 。 

首先 是 检查 安全 策略 的 匹配 条 件 ， 如 果 匹 配 条 件 配置 有 误 ， 将 会 导致 报 文 无 法 命中 
该 安全 策略 ， 防 火 墙 就 无 法 对 报 文 实施 预先 设置 的 动作 。 安 全 策略 配置 完成 后 ， 发 现 防 
类 境 没 有 按 甩 和 们 本 其 前 方式 张 外 理 报 六 ， 此 时 应 检查 安全 策略 的 配置 情况 。 

poliey interzone tust untrust outbound : 
aa 
paliey 1( 
paley sotvice sarvioe se ht Gredetined) 
policy source 192.168.0.1 0 
policy destination 172.16.0.1 0 


上 述 信 息 中 ， 安 全 策略 policy 1 的 报 文 命中 统计 信息 为 0， 说 明 没有 报 文 命中 这 条 
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安全 策略 ， 在 接口 已 经 正确 加 入 安全 区 域 的 前 提 下 ， 我 们 就 应 该 进一步 检查 这 条 安全 策 
略 中 各 个 条 件 的 配置 是 否 正确 无 误 。 
其 次 ， 如 果 在 同一 个 安全 区 域 之 间 配 置 了 多 条 安全 策略 ， 此 时 还 要 关注 多 条 安全 策略 间 
的 匹配 顺序 。 如 下 所 示 ， 在 Trust 安全 区 域 到 Untrust Ny inane 
[FW] policy interzone trust untrust outbound 
[FW-policy- interzone-trust-untrust-outbound] policy1 
[FW-policy-interzone-trust-untrust-outbound- -1] policy source 192.168.0.0 0.0. 0255 
\ -policy- -interzone-trust-untrust-outbound-1] policy destination 172. 16.0.0 0. .0.0.255 
。 -policy-interzone-trust-untrust-outbound-1] action permit 
[FW-policy-interzone-trust- untrust-outbound-1] quit 
~ [FW-policy-interzone-trust-untrust-outbound] policy2 
~ [FW-policy-interzone-trust-untrust-outbound- -2] policy source 192. 168. 0. 100 0 
[FW-policy-interzone-trust-untrust-outbound-2] action deny ， 
[FW-policy-interzone-trust-untrust-outbound-2] quit 


安全 策略 policy 1 中 设置 的 源 地 址 范围 包括 了 安全 策略 policy 2 中 设置 的 源 地 址 ， 
所 以 源 地 址 是 192.168.0.100 的 报 文 只 会 命中 安全 策略 policy 1， 防 火 墙 允许 其 通过 ， 永 
远 不 会 命中 动作 为 拒绝 通过 的 安全 策略 policy 2。 

为 了 解决 这 个 问题 ， 我 们 可 以 执行 如 下 命令 ， 将 policy 2 移动 到 ie 1 a 

[FW-policy- -interzone-trust-untrust-outbound] policy move 2 before 1 

移动 完成 后 ， 源 地 址 是 192.168.0.100 的 报 文 就 会 优先 命中 安全 策略 policy 2， 防 志 
墙 对 报 文 执行 拒绝 通过 的 动作 。 
















policy source 192.168.0.0 0.0.0.255 
， ai 





如 何 精 确 指定 匹配 条 件 是 配置 安全 策略 的 难点 ， 匹配 条 件 设置 的 过 于 宽泛 ， 会 带 来 安 
全 风险 ; 匹配 条 件 设置 的 过 于 严格 ， 可 能 会 导致 报 文 无 法 命中 策略 ， 影 响 业务 正常 运行 。 强 
叔 在 这 里 为 大 家 介绍 一 种 通用 的 配置 思路 : 首先 配置 缺 省 包 过 滤 的 动作 为 允许 通过 ,对 业务 
进行 调 测 , 保证 业务 正常 运行 ; 然后 查看 会 话 表 ， 以 会 话 表 中 记录 的 信息 为 匹配 条 件 配置 安 
全 策略 ， 最 后 恢复 缺 省 包 过 滤 的 配置 ， 再 次 对 业务 进行 调 测 ， 验 证 安全 策略 是 否 正确 。 

缺 省 包 过 滤 的 动作 配置 为 允许 通过 后 , 防火 墙 允 许 所 有 报 文通 过 , 可 能 会 带 来 安全 风险 ， 

此 只 建议 在 调 测 的 时 候 使 用 。 在 调 测 完成 后 ， 必 须 将 缺 省 包 过 滤 的 动作 恢复 为 拒绝 通过 。 

下 面 我 们 来 看 两 个 实例 ， 第 一 个 实例 的 组 网 如 图 2-21 所 示 ，PC 和 Web 服务 器 与 防 
火 墙 直接 相连 ，PC 属于 Trust 安全 区 域 ，Web 服务 器 属于 Untrust 安全 区 域 ， 要 求 PC 能 
够 正常 访问 Web 服务 器 。 

我 们 一 开始 并 不 知道 如 何 配置 匹配 条 件 精确 的 安全 策略 ， 我 们 先 配 置 Trust 安全 区 
域 到 Untrust 安全 区 域 的 缺 省 包 过 滤 ， 将 动作 设置 为 允许 通过 ， 并 根据 提示 信息 输入 y。 
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Trust Untrust 
PC J Web Server 
192.168.0.1 防火 二 172.16.0.1 


图 2-21 PC 访问 Web 服务 器 组 网 示意 图 


[FW] firewall packet-filter default permit interzone trust untrust direction outbound 
Waming:Setting the default packet filtering to permit poses security risks. You are advised to configure the security policy 
based on the actual data flows. Are you sure you want to continue?[Y/N] y 


这 个 时 候 防 火 墙 就 允许 Trust 安全 区 域 到 Untrust 安全 区 域 方向 上 的 所 有 报 文 通过 ， 
我 们 在 PC 上 访问 Web 服务 器 ， 访 问 成 功 后 在 防火 墙 上 查看 会 话 表 。 
~ [FW] display firewall session table verbose 
Current Total Sessions : 1 
http VPN:public -> public 
Zone: trust—> untrust TTL: 00:00:10 Left: 00:00:07 
Interface: GigabitEthernetO/0/1 NextHop: 172.16.0.1 MAC: 54-89-98-c0-15-c5 
<--packets:4 bytes:465  -->packets:7 bytes:455 
192.168.0.1:2052-->172.16.0.1:80 
会 话 表 中 已 经 非常 清晰 地 记录 了 PC 访问 Web 服务 器 这 条 连接 的 信息 ， 由 此 我 们 可 
以 配置 如 下 安全 策略 。 
[FW] policy interzone trust untrust outbound 
[FW-policy-interzone-trust-untrust-outbound] policy 1 
[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.1 0 
[FW-policy-interzone-trust-untrust-outbound-1] policy destination 172.16.0.1 0 
{FW-policy-interzone-trust-untrust-outbound-1] policy service service-set http 
{FW-policy-interzone-trust-untrust-outbound-1] action permit 
[FW-policy-interzone-trust-untrust-outbound-1] quit 
最 后 ， 我 们 将 缺 省 包 过 滤 的 动作 恢复 为 拒绝 通过 ， 这 样 就 完成 了 安全 策略 的 配置 。 


[FW] firewall packet-filter defauit deny interzone trust untrust direction outbound 


下 面 我 们 再 来 看 第 二 个 实例 ， 如 图 2-22 所 示 ，PC 与 防火 墙 直接 相连 ， 属 于 Trust 
安全 区 域 ， 要 求 管理 员 能 够 在 PC 上 通过 Telnet 方式 登录 防火 墙 。 


Trust 


Local 
PC , 
192.168.0.1 助 关 清 


图 2-22 管理 员 通 过 Telnet 方式 登录 到 防火 墙 组 网 示意 图 


首先 , 我 们 配置 Trust 安全 区 域 到 Local 安全 区 域 的 缺 省 包 过 滤 ， 将 动作 设置 为 允许 
通过 ， 并 根据 提示 信息 输入 y。 


[FW] firewall packet-filter default permit interzone trust local direction inbound 
Warning:Setting the default packet filtering to permit poses security risks. You 

are advised to configure the security policy based on the actual data flows. Are 

you sure you want to continue?[Y/N] y 
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然后 ， 在 PC 上 通过 Telnet 方式 登录 防火 墙 ， 登 录 成 功 后 在 防火 墙 上 查看 会 话 表 。 


[FW] display firewall session table verbose 
Current Total Sessions : 1 
telnet VPN:public -> public 
Zone: trust--> local TIL: 00:10:00 Left: 00:09:55 
Interface: InLoopBack0 NextHop: 127.0.0.1 MAC:00-00-00-00-00-00 
<--packets:6 bytes:325  -->packets:8 bytes:415 
192.168.0.1:2053-->192.168.0.2:23 
由 此 ， 我 们 可 以 配置 如 下 安全 策略 。 
[FW] policy interzone local trust inbound 
[FW-policy-interzone-local-trust-inbound] policy 1 
[FW-policy-interzone-local-trust-inbound-1] policy source 192.168.0.1 0 
[FW-policy-interzone-local-trust-inbound-1] policy destination 192.168.0.20 
[FW-policy-interzone-local-trust-inboiind-1] policy service service-set telnet 
[FW-policy-interzone-local-trust-inbound-1] action permit 


最 后 ， 我 们 将 缺 省 包 过 滤 的 动作 恢复 为 拒绝 通过 ， 这 样 就 完成 了 安全 策略 的 配置 。 
[FW] firewall packet-filter default deny interzone trust local direction inbound 


面 只 是 举 了 两 个 简单 的 例子 ， 希 望 大 家 能 够 掌握 这 种 配置 思路 ， 后 面 遇 到 复杂 的 
业务 时 ， 也 能 准确 配置 安全 策略 的 匹配 条 件 。 


2.5.2 ASPF 


ASPF 功能 决定 了 很 多 特殊 的 协议 是 否 能 被 防火 墙 正常 转发 ， 所 以 当 网 络 中 存在 类 
似 FTP 这 样 的 业务 时 ， 请 检查 是 否 开启 了 相应 的 ASPF 功能 。 以 USG2000/5000 系列 防 
火 墙 为 例 ， 目 前 支持 开启 ASPF 功能 的 协议 如 表 2-4 所 示 ， 其 他 防火 墙 产 品 的 支持 情况 
请 以 产品 手册 为 准 。 

表 2-4 USG2000/5000 支持 开启 ASPF 功能 的 协议 






DNS、FTP、H.323、ICQ、ILS、MGCP、MMS、MSN、NETBOIS、PPTP、 
QQ、 RTSP、SIP、SQLNET 


DNS、 FTP、 H.323、 ILS、 MGCP、 MMS、 MSN、 NETBOIS、 PPTP、QQ、 
RTSP、 SIP、SQLNET 


我 们 可 以 使 用 display interzone 命令 检查 安全 区 域 的 域 间 是 否 正确 开启 了 ASPF 功 
能 ， 如 下 所 示 。 


[FW] display interzone 

interzone trust untrust 
detect ftp 

# 


上 述 信 息 表示 在 Trust 安全 区 域 和 Untrust 安全 区 域 的 域 间 已 经 开启 了 FTP 协议 的 
ASPF 功能 。 我 们 还 可 以 使 用 display zone 命令 检查 安全 区 域 的 域内 是 否 正确 开启 了 
ASPF 功能 ， 如 下 所 示 。 


[FW] dispiay zone 
local 


安全 区 域 的 域 间 









安全 区 域 的 域内 


priority is 100 
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# 

trust 
priority is 85 
detect qq 


interface of the zone is (1): 
GigabitEthernet0/0/] 
# 
. intrust 
priority is 5 
interface of the zone is (0): 
# 
dmz 
priority is 50 
interface of the zone is (0): 
# 
上 述 信 息 表示 在 Trust 安全 区 域 的 域内 已 经 开启 了 QQ 协议 的 ASPF 功能 。 
如 果 配 置 了 用 户 自 定义 协议 的 ASPF 功能 但 没有 生效 ,首先 我 们 使 用 display firewall 
server-map 命令 查看 是 否 正 确 生成 Server-map 表 项 。 
[FW] display firewall server-map 
server-map item(s) 


ANY -> 192.168.0.1:55199, Zone:-— 


Type: STUN, 
Protocol: udp(Appro: stun-~derived), Left-Time:00:04:52, Pool: --- 
Vpn: public -> public 


上 述 信 息 表示 已 经 生成 了 Server-map 表 项 。 如果 没有 生成 Server-map 表 项 , 请 检查 ACL 
规则 的 范围 是 否 准确 ， 报 文 是 否 能 命中 ACL 规则 。 如 果 发 现 配 置 有 误 ， 请 调整 ACL 规则 。 


强 叔 提问 


1. 管理 员 在 Trust 安全 区 域 和 Untrust 安全 区 域 之 间 依 次 配置 了 如 下 两 条 安全 策略 ， 
请 分 析 这 样 配置 有 什么 问题 ? 

。 安全 策略 1: 拒绝 目的 地 址 是 172.16.0.0/24 网 段 的 报 文通 过 。 

。 安全 策略 2: 允许 目的 地 址 是 172.16.0.100 的 报 文通 过 。 

2. 下 一 代 防 火 墙 的 一 体 化 安全 策略 中 都 有 哪些 维度 的 匹配 条 件 ? 

3. 在 FTP 客户 端 访问 FTP 服务 器 的 组 网 中 ， 如 果 FTP 客户 端 使 用 了 被 动 模式 (PASV 
模式 )， 是 否 还 需要 开启 ASPF 功能 ? 

4. 防火 墙 上 运行 OSPF 路 由 协议 ， 假设 OSPF 的 网 络 类 型 是 广播 类 型 (Broadcast)， 
请 填写 下 列 配置 脚本 中 的 空白 处 , 精确 开启 运行 OSPF 协议 的 接口 所 在 的 Untrust 安全 区 
域 与 Local 安全 区 域 之 间 的 安全 策略 。 


# 
policy interzone local untrust 
policy 1 
action permit 
policy service service-set 
大 
Policy interzone local untrast 
policy 1 
action permit 
policy service service-set 
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DoS 攻 击 简介 
单 包 攻击 及 防御 . 
流量 型 攻击 之 SYN Flood 攻 击 及 防御 
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3.1 DoS 攻击 简介 


通过 前 面 两 章 的 学 习 , 我 们 知道 了 防火 墙 的 主要 作用 是 保护 特定 网 络 免 受 “不 信任 ” 
网 络 的 攻击 ， 这 是 防火 墙 最 基本 的 安全 功能 。 本 章 强 叔 为 大 家 介绍 网 络 中 常见 的 单 包 攻 
击 、 流 量 型 攻击 和 应 用 层 攻击 的 手段 ， 以 及 防火 墙 防御 这 些 攻 击 的 方法 。 

首先 我 们 回顾 一 下 攻击 的 发 展 史 ，20 世纪 90 年 代 ， 随 着 互联 网 的 蓬勃 发 展 ， 攻 击 
从 实验 室 走向 了 Intemet， 随 后 不 断 发 展 。 所 谓 魔 高 一 尺 ， 道 高 一 丈 ， 攻 击 手段 虽然 在 持 
续 升 级 ， 但 防御 攻击 的 技术 也 在 不 断 提高 ， 如 图 3-1 所 示 。 


1996 年 2000 年 2008 年 2011 年 2012 年 
扫描 、 溢 出 攻击 网 络 层 攻击 HITP 应 用 攻击 HTTP、HTTPS 应 用 攻击 升级 移动 应 用 DDoS 攻击 


四 


虚假 源 DDoS 攻击 真实 源 攻击 1 HTTPS 加 密 型 攻击 出 现 。 “伪装 成 智能 终端 
2 WEB 应 用 慢 速 攻击 流行 


传输 协议 层 应 用 层 源 认证 验 1. 僵尸 网 络 卫 信誉 1. 行为 分 析 

源 认 证 验证 证 源 是 否 是 真实 2. 会话 监控 2. 僵尸 网 络 卫 信 誉 

源 的 真实 性 业务 客户 端 3. 本 地 业务 访问 地 理 信誉 ” 3. 本 地 业务 访问 地 理 信誉 
4. 本 地 业务 访问 卫 信 誉 





3-1 攻击 和 防御 技术 发 展 史 


提 到 “网 络 攻击 ” 就 不 能 不 说 说 DoS 攻击 。DoS 是 Denial of Service 的 简称 ， 即 拒 
绝 服务 。 造 成 DoS 的 攻击 行为 被 称 为 DoS 攻击 ， 其 目的 是 使 计算 机 或 网 络 无 法 正常 提 
供 服务 。 

那么 “拒绝 服务 ”是 什么 意思 呢 ? 我 们 打 一 个 形象 的 比喻 : 街 边 有 一 个 小 餐馆 为 
大 家 提供 餐饮 服务 ， 但 是 这 条 街 上 有 一 群 地 阁 总 是 对 餐馆 搞 破坏 ， 如 霸占 着 餐桌 不 让 其 
他 客人 吃饭 也 不 结账 ， 或 者 堵 住 餐馆 的 大 门 不 让 客人 进门 ， 甚 至 骚扰 餐馆 的 服务 员 或 者 
厨师 不 让 他 们 正常 干 活 ， 这 样 餐 馆 就 没有 办 法 正常 营业 了 ， 这 就 是 “拒绝 服务 ”。 

.Internet 中 的 计算 机 或 者 服务 器 就 像 是 这 个 餐馆 一 样 ， 为 Internet 用 户 提供 资源 和 服 
务 ， 如 果 攻 击 者 想 要 对 这 些 计 算 机 或 者 服务 器 进行 DoS 攻击 的 话 ， 也 使 用 消耗 计算 机 或 
服务 器 性 能 、 抢 占 链 路 带宽 等 手段 。 


3.2 单 包 攻击 及 防御 


最 常见 的 DoS 攻击 就 是 单 包 攻 击 , 一 般 都 是 以 个 人 为 单位 的 攻击 者 发 动 的， 攻击 报 
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文 也 比较 单一 。 这 类 攻击 虽然 破坏 力 强 大 ， 但 是 只 要 掌握 了 攻击 的 特征 ， 防 御 起 来 还 是 
比较 容易 的 。 
我 们 把 单 包 攻击 分 为 以 下 三 大 类 ， 如 图 3-2 所 示 。 








图 3-2 单 包 攻击 的 分 类 


。 蝴 形 报 文 攻击 : 通常 指 攻击 者 发 送 大 量 有 缺陷 的 报 文 ,从 而 造成 被 攻击 的 系统 在 
处 理 这 类 报 文 时 崩溃 。 

。 扫描 类 攻击 : 是 一 种 潜在 的 攻击 行为 ， 并 不 造成 直接 的 破坏 结果 ， 通 常 是 攻击 者 
发 动 真正 攻击 前 的 网 络 探测 行为 。 

。 特殊 控制 类 报 文 攻击 : 也 是 一 种 潜在 的 攻击 行为 , 并 不 造成 直接 的 破坏 结果 ， 
攻击 者 通过 发 送 特殊 控制 报 文 探测 网 络 结构 ， 为 后 续 发 动 真正 的 攻击 做 
准备 。 

防御 单 包 攻击 是 防火 墙 具 备 的 最 基本 的 防范 功能 ， 华 为 全 系列 防火 墙 都 支持 对 单 包 

攻击 的 防御 。 下 面 强 叔 就 带 大 家 认识 几 种 典型 的 单 包 攻击 ， 同 时 看 一 看 华为 防火 墙 是 如 
何 防范 这 些 攻 击 的 。 


3.2.1 ”Ping of Death 攻击 及 防御 


IP 报 文 头 中 的 长 度 字段 为 16 位 ,表示 IP 报 文 的 最 大 长 度 为 65 535 字 节 。 一 些 早期 
版 本 的 操作 系统 对 报 文 的 大 小 是 有 限制 的 ， 如 果 收 到 大 小 超过 65 535 字 节 的 报 文 ， 会 出 
现 内 存 分 配 错误 , 进而 导致 系统 崩溃 .Ping of Death 攻击 指 的 就 是 攻击 者 不 断 的 通过 Ping 
命令 向 受害 者 发 送 超 过 65 535 字 节 的 报 文 ， 导 致 受害 者 的 系统 月 省 。 

防火 墙 是 通过 判定 报 文 的 大 小 是 否 大 于 65 535 字 节 来 防御 Ping of Death 攻击 的 , 如 
果 报 文大 于 65 535 字 节 ， 则 判定 为 攻击 报 文 ， 防 火 墙 直接 丢弃 该 报 文 。 


3.2.2 Land 攻击 及 防御 


Land 攻击 是 指 攻击 者 向 受害 者 发 送 伪造 的 TCP 报 文 ， 此 TCP 报 文 的 源 地 址 和 目的 
地 址 同 为 受害 者 的 IP 地 址 。 这 将 导致 受害 者 向 它 自己 的 地 址 发 送 回 应 报 文 ， 从 而 造成 资 
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源 的 消耗 。 

防火 墙 在 防御 Land 攻击 时 , 检查 TCP 报 文 的 源 地 址 和 目的 地 址 是 否 相同 ,或 者 TCP 
报 文 的 源 地 址 是 否 为 环 回 地 址 , 如 果 TCP 报 文 的 源 地 址 和 目的 地 址 相同 或 者 源 地 址 为 环 
回 地 址 ， 则 直接 丢弃 该 报 文 。 


3.2.3 “IP 地 址 扫描 攻击 


IP 地 址 扫描 攻击 是 指 攻击 者 使 用 ICMP 报 文 (如 执行 Ping 和 Tracert 命令 ) 探测 目 
标 地 址 ， 或 者 使 用 TCP/UDP 报 文 对 特定 地 址 发 起 连接 ， 通 过 判断 是 否 有 应 答 报 文 ， 确 
定 目标 地 址 是 否 连接 在 网 络 上 。 

IP 地 址 扫描 攻击 并 没有 直接 造成 恶劣 后 果 ， 它 只 是 一 种 探测 行为 ， 通 常 是 为 了 后 续 
发 动 破坏 性 攻击 做 准备 。 尽 管 如 此 ， 防 火 墙 也 不 会 放 过 这 种 攻击 行为 。 

防火 墙 防御 PP 地 址 扫描 攻击 时 ， 对 收 到 的 TCP、UDP、ICMP 报 文 进 行 检测 ， 某 个 
源 全 地 址 连续 发 送 报 文 时 ， 如 果 该 下 发送 的 报 文 的 目的 卫 地 址 与 其 发 送 的 前 一 个 报 文 
的 目的 IP 地 址 不 同 ， 则 记 为 一 次 异常 。 当 异常 次 数 超过 预定 义 的 阔 值 ， 则 认为 该 源 正 
正在 进行 IP 地 址 扫描 攻击 ， 防 火 墙 会 将 该 源 P 地 址 加 入 黑 名单 ， 后 续 收 到 来 自 该 源 卫 
地 址 的 报 文 时 ， 直 接 丢 弃 。 

从 以 上 几 种 单 包 攻 击 及 防御 原理 中 我 们 可 以 发 现 ， 单 包 攻击 一 般 都 具有 明显 的 特 
征 ， 所 以 防火 墙 在 防御 单 包 攻 击 时 ， 只 要 发 现 报 文 匹 配 了 攻击 特征 ， 就 很 容易 对 攻击 行 
为 进行 防御 。 
3.2.4 ”防御 单 包 攻击 的 配置 建议 


防火 墙 支持 的 单 包 攻击 防御 功能 种 类 繁多 , 那么 在 实际 网 络 环境 中 , 哪些 需要 开启 ， 
哪些 不 建议 开启 呢 ? 相信 这 个 问题 一 直 困扰 着 大 家 ， 下 面 强 叔 就 给 出 防御 单 包 攻 击 的 配 
置 建 议 。 

如 图 3-3 所 示 ， 针 对 现 网 实际 环境 中 比较 常见 的 一 些 攻击 类 型 ， 开 局 防御 功能 后 ， 
防火 墙 可 以 很 好 地 进行 防范 ， 对 性 能 方面 没有 影响 。 而 扫描 类 攻击 在 防御 过 程 中 比较 消 
耗 防火 墙 的 性 能 ， 建 议 仅 在 发 生 扫 描 类 攻击 时 再 开启 。 





图 3-3 ”防御 单 包 攻 击 的 配置 建议 


如 表 3-1 所 示 ， 以 USG9500 系列 防火 墙 V300R001 版 本 为 例 ， 给 出 了 几 种 常用 单 包 
攻击 防御 的 开启 命令 。 
其 实 ， 单 包 攻击 在 现 网 中 所 占 的 比例 并 不 高 ， 现 网 中 最 主流 ， 也 让 人 们 最 头疼 的 攻 
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击 其 实 是 SYN Flood、UDP Flood 等 流量 型 攻击 ， 以 及 HTTP Flood、DNS Flood 等 应 用 
层 攻 击 ， 下 面 会 为 大 家 一 一 介绍 。 





表 3-1 开启 单 包 攻击 防御 的 命令 
开启 Smurf 攻击 防御 功能 firewall defend smurf enable 
开启 Land 攻击 防御 功能 firewall defend land enable 
开启 Fraggle 攻击 防御 功能 firewall defend fraggle enable 
开启 WinNuke 攻击 防御 功能 firewall defend winnuke enable 
开启 Ping of Death 攻击 防御 功能 firewall defend ping-of-death enable 


开启 带 时 间 戳 记录 选项 的 了 P 报 文 攻击 防御 功能 | firewall defend time-stamp enable 
开启 带路 由 记录 选项 的 他 报 文 攻击 防御 功能 firewall defend route-record enable 


3.3 流量 型 攻击 之 SYN Flood 攻击 及 防御 


过 去 ， 攻 击 者 所 面临 的 主要 问题 是 网 络 带宽 不 足 ， 受 限于 较 慢 的 网 络 速度 ， 攻 击 者 
无 法 发 出 过 多 的 请 求 。 虽 然 类 似 “Ping of Death” 的 攻击 只 需要 较 少 量 的 报 文 就 可 以 摧 
毁 一 个 没有 打 过 补丁 的 操作 系统 ， 但 大 多 数 的 DoS 攻击 还 是 需要 相当 大 的 带宽 ， 而 以 个 
人 为 单位 的 攻击 者 很 难 拥有 大 量 的 带宽 资源 ， 这 个 时 候 就 出 现 了 分 布 式 拒绝 服务 攻击 
DDoS (Distributed Denial of Service )。 

DDoS 攻击 是 指 攻击 者 通过 控制 大 量 的 僵尸 主机 〈 俗 称 “ 肉 鸡 ”， 向 被 攻击 目标 发 
送 大 量 精心 构造 的 攻击 报 文 ， 造 成 被 攻击 者 所 在 网 络 的 链 路 拥塞 、 系 统 资源 耗 尽 ， 从 而 
使 被 攻击 者 产生 拒绝 向 正常 用 户 的 请 求 提供 服务 的 效果 ， 如 图 3-4 所 示 。 


被 攻击 目标 





Rosa > 控制 流量 ”一 > 攻击 流量 
图 3-4 ”DDoS 攻击 示意 图 
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提起 DDoS 攻击 , 大 家 首先 想到 的 一 定 是 SYN Flood 攻击 。 在 多 种 攻击 类 型 中 , SYN 
Flood 攻击 属于 技术 含量 很 高 的 “高 大 上 ”称霸 DDoS 攻击 领域 很 久 。 它 的 不 同 之 处 在 
于 ,我 们 很 难 通过 单个 报 文 的 特征 或 者 简单 的 统计 限 流 防 御 住 它 ， 因 为 它 “ 太 真实 ”“ 太 - 
常用 ”。 

SYN Flood 具有 强大 的 变异 能 力 ， 在 攻击 发 展 潮流 中 一 直 没 有 被 削 没 ， 这 完全 是 它 
自身 的 “优秀 基因 ”所 决定 的 。 

。 单个 报 文 看 起 来 很 “真实 ” 没有 蝴 形 。 

。 攻击 成 本 低 ， 很 小 的 开销 就 可 以 发 动 庞大 的 攻击 。 

2014 年 春节 期 间 ， 某 IDC 分 别 于 大 年 初 二 、 初 六 、 初 七 连续 遭受 三 轮 攻击 ， 最 长 的 
一 次 攻击 时 间 持 续 将 近 3 个 小 时 ， 攻 击 流量 峰值 接近 160Gbit/s! 事后 ， 通 过 对 目标 和 攻 
击 类 型 分 析 ， 基 本 可 以 判断 是 由 黑客 组 织 发 起 的 针对 同一 目标 的 攻击 事件 。 分 析 捕 获 的 
攻击 报 文 可 以 发 现 ， 主 要 的 攻击 手段 就 是 SYN Flood。 

2013 年 ， 某 安全 运营 报告 显示 ，DDoS 攻击 呈现 逐年 上 升 趋势 ， 其 中 SYN Flood 攻 
击 的 发 生 频 率 在 2013 全 年 攻击 统计 中 占 31%。 

可 见 ， 时 至 今日 ，SYN Flood 还 是 如 此 地 独 狐 。 知 己 知 彼 ， 百 战 不 殖 ， 下 面 我 们 就 
来 了 解 一 下 它 的 攻击 原理 。 


3.3.1 攻击 原理 


单 从 字面 上 看 , SYN Flood 攻击 与 TCP 协议 中 的 SYN 报 文 有 关 , 在 了 解 SYN Flood 
攻击 原理 之 前 ， 我 们 先 来 温习 一 下 TCP 客户 端 服务 器 
三 次 握手 的 过 程 ， 如 图 3-5 所 示 。 

(1) 第 一 次 握手 : 客户 端 向 服务 器 端 
发 送 一 个 SYN 〈Synchronize) 报 文 。 

(2) 第 二 次 握手 : 服务 器 收 到 客户 
端的 SYN 报 文 后 ， 将 返回 一 个 SYN+ 
ACK 的 报 文 , 表示 客户 端的 请 求 被 接受 ， 
ACK 即 表 示 确 认 (Acknowledgment)。 

(3) 第 三 次 握手 : 客户 端 收 到 服务 器 
的 SYN+ACK 包 , 向 服务 器 发 送 ACK 报 
文 进行 确认 ，ACK 报 文 发 送 完毕 ， 三 次 了 
握手 建立 成 功 。 

SYN Flood 攻击 正 是 利用 了 TCP 三 次 握手 的 这 种 机 制 。 如 图 3-6 所 示 ， 攻 击 者 向 
目标 服务 器 发 送 大 量 的 SYN 报 文 请 求 ， 这 些 SYN 报 文 的 源 地 址 一 般 都 是 不 存在 或 不 
可 达 的 。 当 服务 器 回复 SYN+ACK 报 文 后， 不 会 收 到 ACK 回应 报 文 ， 导 致 服务 器 上 
建立 大 量 的 半 连 接 。 这 样 ， 服 务 器 的 资源 会 被 这 些 半 连 接 耗 尽 ， 导 致 无 法 回应 正常 的 

防火 墙 防御 SYN Flood 攻击 时 ， 一 般 会 采用 TCP 代理 和 TCP 源 探测 两 种 方式 。 
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目标 服务 器 










SYN 
SYN+ACK 


图 3-6 ”SYN Flood 攻击 


3.3.2 ”防御 方法 之 TCP 代理 


TCP 代理 是 指 防火 墙 部 署 在 客户 端 和 服务 器 中 间 ， 当 客户 端 向 服务 器 发 送 的 SYN 
报 文 经 过 防火 墙 时 ， 防 火 墙 代替 服务 器 与 客户 端 建立 TCP 三 次 握手 。 

如 图 3-7 所 示 , 防火 墙 先 对 SYN 报 文 进行 统计 ， 如 果 发 现 连续 一 段 时 间 内 去 往 同 一 
目的 地 址 的 SYN 报 文 超过 预先 设置 的 阔 值 ， 则 启动 TCP 代理 。 

启动 TCP 代理 后 ， 防 火 墙 收 到 SYN 报 文 ， 将 会 代替 服务 器 回应 SYN+ACK 报 文 ， 
接 下 来 如 果 防 火 墙 没 有 收 到 客户 端 回应 的 ACK 报 文 , 则 判定 此 SYN 报 文 为 非 正 常 报 文 ， 
防火 墙 代 替 服务 器 保持 半 连 接 一 定时 间 后 ， 放 弃 此 连接 。 如 果 防 火 墙 收 到 了 客户 端 回应 
的 ACK 报 文 ， 则 判定 此 SYN 报 文 为 正常 业务 报 文 ， 此 时 防火 墙 会 代替 客户 端 与 服务 器 
建立 TCP 三 次 握手 ， 该 客户 端的 后 续 报 文 都 将 直接 送 到 服务 器 。 整 个 TCP 代理 的 过 程 
对 于 客户 端 和 服务 器 都 是 透明 的 。 

TCP 代理 过 程 中 ， 防 火 墙 会 对 收 到 的 每 一 个 SYN 报 文 进行 代理 和 回应 ， 并 保持 半 
连接 ， 所 以 当 SYN 报 文 流量 很 大 时 ， 对 防火 墙 的 性 能 要 求 非常 的 高 。 其 实 ，TCP 代理 
的 本 质 就 是 利用 防火 墙 的 高 性 能 ， 代 替 服务 器 承受 半 连 接 带 来 的 资源 消耗 ， 由 于 防火 墙 
的 性 能 一 般 比 服务 器 高 很 多 ， 所 以 可 以 有 效 防御 这 种 消耗 资源 的 攻击 。 

通常 情况 下 , 使 用 TCP 代理 可 以 防御 SYN Flood 攻击 , 但 是 在 报 文 来 回路 径 不 一 致 
的 网 络 环境 中 ，TCP 代理 就 会 出 现 问题 。 因 为 客户 端 访问 服务 器 的 报 文 会 经 过 防火 墙 ， 
而 服务 器 回应 给 客户 端的 报 文 不 会 经 过 防火 墙 。 这 种 情况 下 ， 防火墙 向 服务 器 发 送 SYN 
报 文 建立 TCP 三 次 握手 时 ， 服 务 器 回应 的 SYN+ACK 报 文 不 会 经 过 防火 墙 ，TCP 代理 
功能 不 会 成 功 。 

所 以 在 报 文 来 回路 径 不 一 致 的 网 络 环境 中 ,不 能 使 用 TCP 代理 防御 SYN Flood 攻 击 。 
可 是 在 现 网 中 ， 报 文 来 回路 径 不 一 致 的 场景 也 是 很 常见 的 ， 那 这 种 情况 下 如 果 发 生 了 
SYN Flood 攻击 ， 防 火 墙 要 怎么 防御 呢 ? 

不 用 担心 ， 我 们 还 有 第 二 个 防御 方法 : TCP 源 探测 。 
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攻击 者 防火 墙 目标 服务 器 








ACK 





SYN 
SYN+ACK 
ACK 


图 3-7 TCP 代理 防御 方式 


3.3.3 ”防御 方法 之 TCP 源 探 测 


TCP 源 探测 是 防火 墙 防御 SYN Flood 攻击 的 另 一 种 方式 ,在 报 文 来 回路 径 不 一 致 的 
场景 中 也 能 使 用 ， 所 以 它 的 应 用 更 加 普遍 。 

如 图 3-8 所 示 ， 防 火 墙 先 对 SYN 报 文 进行 统计 ， 如 果 发 现 连续 一 段 时 间 内 去 往 同一 
目的 地 址 的 SYN 报 文 超过 预先 设置 的 阐 值 ， 则 启动 TCP 源 探测 。 

启动 TCP 源 探测 后 , 防火 墙 收 到 SYN 报 文 , 将 会 回应 一 个 带 有 错误 确认 号 的 SYN+ 
ACK 报 文 ， 接 下 来 如 果 防火 墙 没 有 收 到 客户 端 回 应 的 RST 报 文 ， 则 判定 此 SYN 报 文 为 
非 正常 报 文 ， 客 户 端 为 虚假 源 。 如 果 防 火 墙 收 到 了 客户 端 回应 的 RST 报 文 ， 则 判定 此 
SYN 报 文 为 正常 报 文 ， 客 户 端 为 真实 源 。 防 火 墙 将 该 客户 端的 瑟 地址 加 入 白 名 单 ， 在 
白 名 单 老化 前 ， 这 个 客户 端 发 出 的 报 文 都 被 认为 是 合法 的 报 文 。 
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攻击 者 防火 墙 目标 服务 器 





YN+ACK 







回应 一 个 带 有 错误 确 
认 号 的 SYN+ACK 报 文 





真实 客户 端 


回应 一 个 带 有 错误 确 
认 号 的 SYN+ACK 报 文 








3-8 ”TCP 源 探测 防御 方式 


我 们 再 回头 对 比 一 下 TCP 代理 和 TCP 源 探 测 两 种 方式 , 会 发 现 TCP 源 探测 对 客户 端 
的 真实 性 只 进行 一 次 验证 , 通过 后 就 加 入 白 名 单 ， 后 续 就 不 会 每 次 都 对 这 个 客户 端 发 出 的 
SYN 报 文 进行 验证 ， 这 样 就 大 大 提高 了 防御 效率 和 性 能 ， 有 效 缓解 防火 墙 的 性 能 压力 。 


3.3.4 ”配置 命令 


如 表 3-2 所 示 ， 以 USG9500 系列 防火 墙 V300R001 版 本 为 例 ， 给 出 了 TCP 代理 和 
TCP 源 探 测 的 配置 命令 。 
表 3-2 TCP 代理 和 TCP 源 探测 配置 命令 






开启 SYN Flood 攻击 防御 功能 | firewall defend syn-flood enable 


firewall defend syn-flood interface { interface-type interface-number 
| all } [ alert-rate alert-rate-number | [ max-rate max-rate-number ] 
[tcp-proxy { auto | on }] 





配置 基于 接口 的 TCP 代理 功能 
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( 续 表 ) 





A 人 


firewall defend syn-flood ip ip-address [ max-rate max-rate-number ] 
工 已 
配置 基于 下 地 址 的 TCP 代 理 功能 [ tep-proxy { auto | on | off } ] 


配置 基于 安全 区 域 的 TCP 代理 | firewall defend syn-flood zone zone-name [ max-rate max-rate- 
功能 number | [ tcp-proxy { auto | on | off } ] 


、 firewall source-ip detect interface { interface-type interface-number | 
配置 TCP 源 探测 功能 all } [ alert-rate alert-rate-number | [ max-rate max-rate-number | 


3.3.5” 阅 值 配置 指导 


大 家 对 于 如 何 配置 Flood 类 攻击 的 告警 闪 值 一 直 存 在 着 疑惑 ， 这 里 给 大 家 统一 说 明 
一 下 。 
告警 闪 值 配置 要 合理 ， 如 果 配 置 的 阐 值 过 大 ， 发 生 攻 击 的 时 候 就 不 能 防御 住 攻 击 ; 
如 果 配 置 的 阔 值 过 小 ， 可 能 会 把 正常 业务 报 文 误 判 为 攻击 报 文 而 丢弃 。 

每 个 网 络 的 流量 模型 都 不 同 ， 配 置 闵 值 之 前 ， 需 要 有 个 准备 工作 ， 就 是 要 大 概 了 解 
当前 网 络 在 正常 情况 下 的 每 种 类 型 报 文 的 基本 流量 模型 ,这 个 值 可 以 是 管理 员 的 经 验 值 ， 
也 可 以 是 管理 员 监 测 网 络 状 态 一 段 时 间 后 统计 分 析 得 到 的 值 。 

比如 ， 我 们 想 配置 SYN Flood 攻击 防御 功能 ， 配 置 告警 阅 值 前 ， 要 先 了 解 没 有 发 生 
攻击 的 情况 下 网 络 中 SYN 报 文 的 最 大 速率 是 多 少 ， 而 SYN Flood 攻击 防御 的 告警 闪 值 
一 般 可 以 配置 为 正常 流量 时 的 1.2 一 2 倍 。 配 置 完 告警 阐 值 后 ， 还 要 连续 多 观察 几 天 ， 看 
这 个 阅 值 是 否 对 正常 业务 有 影响 ， 如 果 有 影响 ， 要 及 时 调整 成 更 大 的 值 。 

下 面 要 介绍 的 UDP Flood、DNS Flood、HTTP Flood 攻击 ， 都 可 以 按照 这 个 思路 来 
设置 阔 值 。 


3.4 流量 型 攻击 之 UDP Flood 攻击 及 防御 


介绍 UDP Flood 攻击 之 前 ， 我 们 还 是 先 从 UDP 协议 讲 起 。 我 们 知道 TCP 协议 是 一 
种 面向 连接 的 传输 协议 ， 但 是 UDP 协议 与 TCP 协议 不 同 ，UDP 是 一 个 无 连接 协议 。 使 
用 UDP 传输 数据 之 前 , 客户 端 和 服务 器 之 间 不 建立 连接 , 如 果 在 从 客户 端 到 服务 器 端的 
传递 过 程 中 出 现 数 据 包 的 丢失 ， 协 议 本 身 并 不 能 做 出 任何 检测 或 提示 。 因 此 ， 通 常 我 们 
把 UDP 称 为 不 可 靠 的 传输 协议 。 

既然 UDP 是 一 种 不 可 靠 的 网 络 协议 ， 那 么 还 有 什么 使 用 价值 或 必要 呢 ? 

其 实 不 然 , 在 有 些 情况 下 UDP 可 能 会 变 得 非常 有 用 。 因 为 UDP 具有 TCP 所 望 尘 莫 
及 的 速度 优势 。 虽 然 TCP 协议 中 植 入 了 各 种 安全 保障 功能 , 但 是 在 实际 执行 的 过 程 中 会 
占用 大 量 的 系统 开销 ， 无 疑 使 传输 速度 受到 严重 的 影响 。 反 观 UDP， 由 于 排除 了 信息 可 
靠 传 递 机 制 ， 极 大 降低 了 执行 时 间 ， 使 传输 速度 得 到 了 保证 。 

正 是 由 于 UDP 协议 的 广泛 应 用 ， 为 攻击 者 发 动 UDP Flood 攻击 提供 了 平台 。UDP 
Flood 攻击 属于 带宽 类 攻击 ， 攻 击 者 通过 僵尸 主机 向 目标 服务 器 发 送 大 量 UDP 报 文 ， 这 
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种 UDP 报 文 的 字 节 数 很 大 且 速 率 非常 快 ， 通 常会 造成 以 下 危害 。 
。 消耗 网 络 带宽 资源 ， 严 重 时 造成 链 路 拥塞 。 
。 大 量变 源 变 端口 的 UDP Flood 攻击 会 导致 依靠 会 话 进行 转发 的 网 络 设备 性 能 降 
低 甚至 会 话 耗 尽 ， 从 而 导致 网 络 瘫痪 。 
防火 墙 对 UDP Flood 攻击 的 防御 并 不 能 像 SYN Flood 一 样 进行 源 探测 ， 因 为 它 不 建 
立 连接 。 那 么 防火 墙 应 该 如 何 防 御 UDP Flood 攻击 呢 ? 


3.4.1 ”防御 方法 之 限 流 


防火 墙 防御 UDP Flood 攻击 最 简单 的 方式 就 是 限 流 ， 通 过 限 流 将 链 路 中 的 UDP 报 
文 控制 在 合理 的 带宽 范围 之 内 。 防 火 墙 上 针对 UDP Flood 攻击 的 限 流 有 4 种 方式 。 

。 基于 流量 入 接口 的 限 流 : 以 某 个 入 接口 流量 作为 统计 对 象 , 对 通过 这 个 接口 的 流 
量 进 行 统计 并 限 流 ， 超 出 的 流量 将 被 丢弃 。 

。 基于 目的 瑟 地 址 的 限 流 : 以 某 个 IP 地 址 作为 统计 对 象 ， 对 到 达 这 个 IP 地 址 的 
UDP 流量 进行 统计 并 限 流 ， 超 出 的 流量 将 被 丢弃 。 

。 基于 目的 安全 区 域 的 限 流 : 以 某 个 安全 区 域 作为 统计 对 和 象 , 对 到 达 这 个 安全 区 域 
的 UDP 流量 进行 统计 并 限 流 ， 超 出 的 流量 将 被 丢弃 。 

。 基于 会 话 的 限 流 : 对 每 条 UDP 会 话 上 的 报 文 速率 进行 统计 ， 如 果 会 话 上 的 UDP 
报 文 速率 达到 了 告警 阀 值 ， 这 条 会 话 就 会 被 锁定 ， 后 续 命 中 这 条 会 话 的 UDP 报 
文 都 被 丢弃 。 当 这 条 会 话 连续 3s 或 者 3s 以 上 没有 流量 时 , 防火 墙 会 解锁 此 会 话 ， 
后 续 命 中 此 会 话 的 报 文 可 以 继续 通过 。 


3.4.2 ”防御 方 法 之 指纹 学 习 


限 流 虽 然 可 以 有 效 缓解 链 路 带宽 的 压力 ， 但 是 这 种 方式 简单 粗暴 ， 容 易 对 正常 业务 造 
成 误 判 。 为 了 解决 这 个 问题 ， 防 火 墙 又 进一步 推出 了 针对 UDP Flood 攻击 的 指纹 学 习 功 能 。 

如 图 3-9 所 示 , 指纹 学 习 是 通过 分 析 客 户 端 向 服务 器 发 送 的 UDP 报 文 载荷 是 否 有 大 
量 的 一 致 内 容 ， 来 判定 这 个 UDP 报 文 是 否 异 常 。 防 火 墙 对 去 往 目标 服务 器 的 UDP 报 文 
进行 统计 ， 当 UDP 报 文 达到 告警 益 值 时 ， 开 始 对 UDP 报 文 的 指纹 进行 学 习 。 如 果 相 同 
的 特征 频繁 出 现 ， 就 会 被 学 习 成 指纹 。 后 续 匹配 指纹 的 UDP 报 文 将 被 防火 墙 判定 为 攻击 
报 文 而 丢弃 ， 没 有 匹配 指纹 的 UDP 报 文 将 被 防火 墙 转发 。 

指纹 学 习 的 原理 基于 这 样 一 个 客观 事实 ， 即 UDP Flood 攻击 报 文通 常 都 拥有 相同 的 
特征 字段 ， 比 如 都 包含 某 一 个 字符 串 , 或 整个 UDP 报 文 的 内 容 一 致 。 这 是 因为 攻击 者 在 
发 起 UDP Flood 攻击 时 , 为 了 加 大 攻击 频率 , 通常 都 会 使 用 攻击 工具 构造 相同 内 容 的 UDP 
报 文 ， 然 后 高 频 发 送 到 攻击 目标 ， 所 以 攻击 报 文具 有 很 高 的 相似 性 。 

而 正常 业务 的 UDP 报 文 一 般 每 个 报 文 中 的 内 容 都 是 不 一 样 的 ， 所 以 通过 指纹 学 习 ， 
防火 墙 就 可 以 区 分 攻击 报 文 和 正常 报 文 ， 减 少 误 判 。 

从 下 面 两 张 抓 包 截图 中 可 以 看 出 ， 到 达 相 同 目的 IP 地 址 的 两 个 UDP 报 文 的 载荷 是 
完全 一 样 的 , 如 果 防 火 墙 收 到 大 量 的 类 似 这 样 的 UDP 报 文 , 那么 就 可 以 判定 发 生 了 UDP 
Flood 攻击 。 
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0a:09b:0c (07:08:09:0a:0b:0c), Dst: 
-139.59,2 (122.139. 59.2), Dst: 210.14.66- 





总 结 一 下 ， 防 火 墙 防御 UDP Flood 攻击 主要 有 两 种 方式 : 限 流 和 指纹 学 习 。 两 种 方 
式 各 有 利 次 。 限 流 方式 属于 暴力 型 ， 可 以 很 快 将 UDP 流量 限制 在 一 个 合理 的 范围 内 , 但 
是 不 分 青红皂白 ， 超 过 就 丢 ， 可 能 会 丢弃 正常 报 文 ; 而 指纹 学 习 属于 理智 型 ， 不 会 随意 
丢弃 报 文 , 但 是 发 生 攻 击 后 需要 有 一 个 指纹 学 习 的 过 程 。 目 前 , 指纹 学 习 功 能 是 针对 UDP 
Flood 攻击 的 主要 手段 ， 华 为 防火 墙 各 系列 产品 均 支 持 指纹 学 习 方式 。 


3.4.3 ”配置 命令 


如 表 3-3 所 示 ， 以 USG9500 系列 防火 墙 V300R001 版 本 为 例 ， 给 出 了 限 流 和 指纹 学 
习 的 配置 命令 。 


表 3 








开启 UDP Flood 攻击 防御 功能 firewall defend udp-flood enable 


S firewall defend udp-flood interface { interface-type 
配置 基于 接口 的 UDP Flood 限 流 功能 interface- number | all } max-rate max-rate-number | 








配置 基于 卫 地 址 的 UDPFlood 限 流 功能 i udp-flood ip iy-address [ max-rate max-rate- 





配置 基于 安全 区 域 的 UDP Flood 限 流 功能 tr ee udp-flood zone zone-name [ max-rate max- 





配置 基于 会 话 的 UDP Flood 限 流 功能 defend udp-flood base-session max-rate max-rate- 





配置 基于 IP 地 址 的 UDP Flood 指纹 学 | firewall defend udp-fingerprint-learn ip ip-address [ alert- 
习 功 能 rate alert- rate-number ] 





配置 基于 安全 区 域 的 UDP Flood 指纹 | firewall defend udp-fingerprint-learn zone zone-name [ alert- 
学 习 功 能 rate alert-rate-number ] 





g firewall defend udp-flood fingerprint-learn offset offset 
配置 UDP Flood 指纹 学 习 相关 参数 fingerprint-length fingerprint-length 
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3.5 ”应 用 层 攻 击 之 DNS Flood 攻击 及 防御 


介绍 应 用 层 攻击 之 前 ， 我 们 先 来 看 一 个 真实 的 案例 。 

2009 年 5 月 19 日 晚 ， 江苏、 安徽 、 广 西 、 海 南 、 甘 肃 、 浙 江 6 省 ， 分 别 报告 省 内 
域名 递归 解析 服务 因 大 量 DNS 请 求 陆续 出 现 故 障 , 其 他 多 个 省 市 则 报告 互联 网 域名 解析 
服务 出 现 异 常 ， 互 联网 运行 受到 严重 影响 ， 网 络 长 时 间 处 于 断 网 状态 。 

回顾 一 下 这 次 攻击 事件 的 过 程 ，5 月 19 日 事 发 当晚 ， 攻 击 者 受 利益 驱使 ， 对 其 
他 游戏 “私服 ”网 站 的 域名 解析 服务 器 DNSPod 实施 攻击 ， 攻 击 流量 超过 10G， 导 致 
DNSPod 域名 解析 服务 瘫痪 。 而 DNSPod 同时 为 暴风 影音 公司 的 服务 器 提供 域名 解析 
服务 。 

由 于 暴风 影音 软件 中 ， 有 一 项 强制 随机 启动 的 名 为 stormliv.exe 的 进程 ， 只 要 用 户 
安装 了 暴风 影音 ， 该 进程 就 会 自动 运行 ， 并 不 断 连接 暴风 影音 服务 器 ， 下 载 广告 或 升 
级 。 因 此 ， 当 DNSPod 服务 器 被 攻击 瘫痪 时 ， 暴 风 影 音 服务 器 的 域名 无 法 正常 解析 ， 
数 以 千 万 计 的 暴风 影音 用 户 就 充当 了 “肉鸡 ” 不 断 地 向 本 地 的 运营 商 DNS 服务 器 发 
送 大 量 请 求 ，DNS 流量 瞬间 就 超过 30G， 形 成 了 DNS Flood 攻击 ， 导 致 了 本 次 重大 网 
络 安全 事件 。 

随后 ， 公 安 机 关 介 入 侦查 ， 攻 击 者 于 5 月 29 日 被 抓获 。 调 查 发 现 ， 他 们 长 期 在 互 
联网 上 经 营 游戏 “私服 ”， 并 租用 服务 器 专门 协助 他 人 攻击 其 他 游戏 “私服 ”和 “私服 ” 
网 站 以 谋取 利益 。 

由 此 可 见 ， 应 用 层 攻击 造成 的 伤害 是 巨大 的 ， 直 接 会 影响 到 我 们 的 正常 生活 ， 加 强 
应 用 层 攻 击 防御 刻不容缓 。 下 面 我 们 就 从 DNS Flood 攻击 讲 起 。 


3.5.1 攻击 原理 


我 们 先 从 DNS 协议 的 工作 原理 讲 起 ， 通 常情 况 下 ， 我 们 在 上 网 访问 网 页 的 时 候 ， 
输入 的 网 址 都 是 域名 ， 由 DNS 服务 器 解析 为 对 应 的 瑟 地 址 。 如 图 3-10 所 示 ， 我 们 访问 
www. huawei.com， 首 先 会 将 DNS 域名 解析 请 求 发 送 到 本 地 DNS 服务 器 。 如 果 本 地 DNS 
服务 器 上 有 此 域名 和 卫 地 址 的 对 应 关系 ， 本 地 DNS 服务 器 就 会 将 查询 到 的 IP 地 址 返回 给 
客户 端 。 

如 果 本 地 DNS 服务 器 查找 不 到 该 域名 与 卫 地 址 对 应 关系 时 , 它 会 向 上 一 级 DNS 服 
务 器 发 出 域名 查询 请 求 ,上 一 级 DNS 服务 器 将 查询 到 的 了 PP 地址 返回 给 本 地 DNS 服务 器 ， 
然后 由 本 地 DNS 服务 器 返回 给 客户 端 ,为 了 减少 Internet 上 DNS 报 文 的 数量 , 本 地 DNS 
服务 器 会 将 该 域名 和 IP 地 址 对 应 关系 存储 在 自己 的 缓存 中 ， 后 续 再 有 主机 请 求 该 域名 
时 ， 本 地 DNS 服务 器 会 直接 用 缓存 区 中 记录 的 信息 回应 。 

DNS Flood 攻击 指 的 是 攻击 者 向 DNS 服务 器 发 送 大 量 的 不 存在 的 域名 解析 请 求 , 导 
致 DNS 服务 器 瘫痪 ， 无 法 处 理 正 常 的 域名 解析 请 求 。 前 文 讲 到 的 案例 中 ， 由 于 DNSPod 
服务 器 被 攻击 瘫痪 无 法 正常 解析 暴风 影音 服务 器 的 域名 ， 数 以 千 万 计 的 暴风 影音 用 户 持 
续 不 断 地 向 运营 商 DNS 服务 器 发 送 请 求 ， 形 成 了 DNS Flood 攻击 ， 导 致 运营 商 DNS 服 
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务 器 域名 解析 服务 异常 。 


客户 端 本 地 DNS 服务 器 上 一 级 DNS 服务 器 








发 送 DNS 请 求 报 文 ， 解 析 www.huawei.com 


DNS 回应 : www.huawei.com 对 应 的 IP 地 址 是 x x 


发 送 DNS 请 求 报 文 ， 解 析 www.huawei.com 







发 送 DNS 请 求 报 文 ， 解 析 www.huawei.com 


DNS 回应 : www.huawei.com 对 应 的 IP 地址 是 x x 





DNS 回应 : www.huawei.com 对 应 的 IP 地 址 是 xX Xx 


图 3-10 DNS 解析 过 程 


3.5.2 ”防御 方 法 


防御 DNS Flood 攻击 的 方法 还 是 要 从 DNS 协议 入 手 ，DNS 服务 器 支持 TCP 协议 和 
UDP 协议 两 种 解析 方式 ， 一般 情 况 下 ,我们 使 用 的 都 是 UDP 协议 ， 因 为 UDP 协议 提供 
无 连接 服务 ， 传 输 速度 快 ， 可 以 降低 DNS 服务 器 的 负载 。 

当然 ， 也 有 特殊 情况 下 需要 通过 TCP 协议 进行 解析 ， 例 如 ，DNS 服务 器 上 就 可 以 
设置 让 客户 端 使 用 TCP 协议 来 发 起 解析 请 求 。 当 客户 端 向 DNS 服务 器 发 起 解析 请 求 时 ， 
DNS 服务 器 回应 的 报 文中 有 一 个 TC 标志 位 ， 如 果 TC 标志 位 置 1， 就 表示 DNS 服务 器 
要 求 客户 端 使 用 TCP 协议 发 起 解析 请 求 。 

防火 墙 就 是 利用 这 一 机 制 对 DNS Flood 攻击 进行 防御 ， 探 测 发 送 DNS 请 求 报 文 的 
主机 是 否 为 真实 存在 的 客户 端 。 

如 图 3-11 所 示 ， 防 火 墙 先 对 DNS 请 求 报 文 进行 统计 ， 如 果 发 现 连续 一 段 时 间 内 去 
往 同 一 目的 地 址 的 DNS 请 求 报 文 超过 预先 设置 的 阔 值 ， 则 启动 DNS 源 探测 。 

启动 DNS 源 探测 后 ， 防 火 墙 收 到 DNS 请 求 ， 会 代替 DNS 服务 器 回应 DNS 请 求 ， 
并 将 DNS 回应 报 文中 的 TC 标志 位 置 1， 要 求 客户 端 使 用 TCP 协议 发 送 DNS 请 求 。 接 
下 来 如 果 防 火 墙 没有 收 到 客户 端 使 用 TCP 协议 发 送 的 DNS 请 求 ， 则 判定 此 客户 端 为 虚 
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假 源 ， 如 果 防 火 墙 收 到 了 客户 端 使 用 TCP 协议 发 送 的 DNS 请 求 ， 则 判定 此 客户 端 为 真 


实 源 。 防 火 墙 将 该 客户 端的 人 P 地 址 加 入 白 名 单 ， 在 白 名 单 老 化 前 ， 这 个 客户 端 发 出 的 
DNS 请 求 报 文 都 被 认为 是 合法 的 报 文 。 


攻击 者 防火 墙 DNS 服务 器 


DNS 请 求 : www.huawei.com (UDP) 


DNS 回应 : 请 用 TCP 协议 发 送 DNS 请 求 


DNS 请 求 : www.huawei.com (TCP) 


DNS 回应 : 200.72.X.X (TCP) DNS 回应 : 200.72.X.X (TCP) 


DNS 请 求 





图 3-11 DNS 源 探测 防御 方式 


下 面 我 们 通过 抓 包 信息 来 看 一 下 ， 发 生 DNS Flood 攻击 时 ， 真 实 客户 端正 常 响 应 防 
火 墙 DNS 源 探测 的 过 程 。 
(1) 首先 ， 客 户 端 使 用 UDP 协议 向 DNS 服务 器 发 起 解析 请 求 ， 如 下 所 示 。 
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PTrotocol into 


1 0.00000000 120.0.4.2 120.0.7.2 


8 3.05972842 120.0.4.2 .0.7. j-lan-p > domain [ACK] Seq=1 ACk=3114313940 
9 3.05978876 120.0.4.2 .0.7. [TCP segment of a reassembled PDU] 
10 3.17464814 120.0.7.2 domain > j-lan-p [ACK] Seq=3114313940 Ack=3 
11 3.17466909 120.0.4.2 standard query A gh3. ddos. com 


TP domain > j-lan-p [ACK] Seq=3114314021 Ack=34 


14 3.17594970 120.0.7.2 本 
9433402 
2050.7.2 TP i-lan-p > domain [acx] Se Ack=31i1i4314022 


16 3.17601088 120.0.4.2 


:Frame 1: 72 bytes on wire (576 bits), 72 bytes captured (576 bits) 
1 A Es 和 HuaweiTe_da:af:b7 (00:18:82:da:af:b7), Dst: HuaweiTe_b3:e6:fc (00:;18:82:b3:e6:fc) 


: 120.0.4.2 (120.0.4.2), Dst: 120.0.7.2 (120.0.7.2) 
Src Port: cspmulti (2807), Dst Port: domain (53) 


| Do Na 5 query 
IResponse In: 21 












UDP 方式 


Transaction ID: 0x0003 
SB Flags: Ox0100 (standard query) 


Osiw's Response: Ressage is a query 
Opcode: standard 

truncared 
Recursion desired 


Ed: DO query recursively 
.... = Z: reserved (0) ~ 
Es TC 标志 位 为 0 


Non-authenticated data: Unacceptable 























Questions: 1 

Answer RRS: 0 

Authority RRS: 0 

Additional RRs: 0 
四 Queries 


(2) 防火 墙 收 到 报 文 后 ， 代 替 DNS 服务 器 回应 ， 将 回应 报 文中 的 TC 标志 位 置 1， 
让 客户 端 使 用 TCP 协议 发 送 解析 请 求 ， 如 下 所 示 。 


8B 3.05972842 120.0.4.2 ij-Tan-p > domain [LACK] Seq=1 Ack=3114313940 Win=65535 
9 3.05978876 120.0.4.2 2 [rcp segment of a reassembled PDU] 
10 3.17464814 120.0.7.2 4 domain > j-lan-p EACK] Seq=3114313940 ACk=3 Win=65533 
11 3.17466909 120.0.4.2 Es Standard query A gh3.ddos. com 


14 3.17594970 120.0.7.2 
16 3.17601088 120.0.4.2 


; Ethernet I1, Sre: HuaweiTe b3:e6:fc (00:18:82:b3:e6:fc), Dst: HuaweiTe da:af:b7 (00:18:82:da:af:b7) 


1 Internet Protrocol, Src: 120.0.7.2 (120.0.7.2), Dst: 120.0.4.2 (120.0.4.2) 
1 User Datagram Protocol, src Port: domain (53), Ost port: cspmulri (2807) 


; Domain Name System (response) 





[Time: 0.000158400 seconds] 
Transaction ID: Ox0003 
Flags: Ox8780 (standard query response, NO error) ls, 
Response: Message is a response TC 标志 位 置 1 
opcode: standard query (0) 
a ee is an Sate for domain 
















Rection a les Server can do recursive queries 


z: reserved (0) 
Answer autrhenticated: Answer /authority portion was not ayurhenticated by the server 


Non-authenticated data: Unacceptable 
Reply code: No error (0) 





Questions: 1 

Answer RRS: 0 

Aurhority RRS: 0 

Addirional RRs: 0 
三 Queries 


(3) 客户 端 收 到 回应 报 文 后 ， 按 照 要 求 ， 使 用 TCP 协议 发 送 解析 请 求 ， 如 下 
所 示 。 


78 华为 防火 墙 技术 漫谈 


.0.7, re ep 

9 4. .0.7. {rcp segment of a reassembled PDU] 

a 下 总 denatn > lanp {ACK] Seq=3114313940 Ack~3 Win=65533 ten=O 
Stardard 


A gh3. ddos. com 


14 3.17594970 120.0,7.2 2 domain > j-lan-p [ACK] Seq=3114314021 ACK= nm65503 Len=O 
j-lan-p > domain [ACK]} Seqm34 Ack=3114314022 Winm65454 LenO 


a Source port: j-lan-p 
Destination port: FR (53) me 以 Tcz 方 式 发 送 ngs 请 求 
[Stream fndex: 


Sequence 0 (relative sequence nusber) 
Header length: 28 bytes 





Wopelons: ‘G8 bytes, 
DNS 源 探 测 方 式 可 以 很 好 地 防御 DNS Flood 攻击 , 但 是 在 现 网 的 实际 环境 中 ， 并 不 
是 所 有 场景 都 适用 。 因 为 在 源 探测 过 程 中 , 防火 墙 会 要 求 客 户 端 通过 TCP 协议 发 送 DNS 
请 求 ， 但 并 不 是 所 有 的 客户 端 都 支持 用 TCP 协议 发 送 DNS 请 求 ， 所 以 这 种 方式 在 使 用 
过 程 中 也 有 限制 。 如 果真 实 的 客户 端 不 支持 用 TCP 协议 发 送 DNS 请 求 , 使 用 此 功能 时 ， 
就 会 影响 正常 业务 。 


3.5.3 ”配置 命令 


如 表 3-4 所 示 , 以 USG9500 系列 防火 墙 V300R001 版 本 为 例 ,给 出 了 防御 DNS Flood 
攻击 的 配置 命令 。 
表 3-4 DNS Flood 攻击 防御 命令 行 
~ ， .功能 ， 
开启 DNS Flood 攻击 防御 功能 | firewall defend dns-flood enable 


firewall defend dns-flood interface { interface-type interface-number 
配置 DNS Flood 攻击 防御 参数 | all } [ alert- rate alert-rate-number ] [ max-rate max-rate-number ] 





3.6 ”应 用 层 攻 击 之 HTTP Flood 攻击 及 防御 


介绍 了 DNS Flood 攻击 后 ， 我 们 再 来 看 看 另 一 种 常见 的 应 用 层 攻击 : HTTP Flood。 
近 几 年 ，HTTP Flood 攻击 所 占 比 例 呈 逐年 上 升 趋势 ， 不 可 小 裔 。 


3.6.1 攻击 原理 


HTTP Flood 攻击 指 的 是 攻击 者 控制 僵尸 主机 向 目标 服务 器 发 送 大 量 的 HTTP 请 求 
文 ， 这 些 请 求 报 文 中 一 般 都 包含 涉及 数据 库 操 作 的 URI (Uniform Resource Identifier， 统 
一 资源 标识 符 ) 或 其 他 消耗 系统 资源 的 URI， 目 的 是 为 了 造成 目标 服务 器 资源 耗 尽 ， 无 
法 响应 正常 请 求 。 
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[0 说 明 

URI 用 来 定义 Web 上 的 资源 ， 而 URL (Uniform Resource Locator， 统 一 资源 定位 器 ) 
用 来 找到 Web 上 的 资源 ， 例 如 ，www.huawei.comy/abc/12345.html 是 一 个 URL, /abc/ 
12345.html 是 一 个 URI。 


3.6.2 ”防御 方法 


防御 HTTP Flood 攻击 时 用 到 了 HTTP 协议 中 的 一 个 技术 点 : HTTP 重 定向 。HTTP 
重 定向 指 的 是 客户 端 向 Web 服务 器 请 求 www.huawei.com/1.html 页 面 ，Web 服务 器 返回 
一 个 命令 ， 让 客户 端 改 为 访问 www.huawei.com/2.html 页 面 ， 这 样 就 把 客户 端的 访问 重 
定向 到 一 个 新 的 URI。 

HTTP 重 定向 相当 于 Web 服务 器 的 “自我 修复 ”的 过 程 , 一 般 常用 于 Web 服务 器 上 
的 URI 已 经 过 期 ， 而 客户 端 仍然 访问 了 这 个 URI 的 情况 ， 此 时 Web 服务 器 将 客户 端的 
访问 请 求 重 定向 到 新 的 URI， 使 客户 端 能 够 得 到 访问 结果 ， 如 图 3-12 所 示 。 


客户 端 Web 服务 器 














“a 












S 


数据 传输 


YN 
CK 


图 3-12 HTTP 重 定向 


防火 墙 就 是 利用 这 一 机 制 对 HTTP Flood 攻击 进行 防御 ， 探 测 发 送 HTTP 请 求 报 文 
的 主机 是 否 为 真实 存在 的 客户 端 。 

如 图 3-13 所 示 , 防火 墙 先 对 HTTP 请 求 报 文 进 行 统计 ， 如 果 发 现 连续 一 段 时 间 内 去 
往 同一 目的 地 址 的 HTTP 请 求 报 文 超过 预先 设置 的 阔 值 ， 则 启动 HTTP 源 探测 。 

启动 HTTP 源 探测 后 ， 防 火 墙 收 到 HTTP 请 求 ， 会 代替 HTTP 服务 器 回应 HTTP 请 
求 ， 将 客户 端的 访问 重 定向 到 一 个 新 的 虚构 的 URI。 接 下 来 如 果 防 火 墙 没有 收 到 客户 端 
访问 该 URI 的 请 求 , 则 判定 此 客户 端 为 虚假 源 ; 如 果 防 火 墙 收 到 客户 端 访问 该 URI 的 请 
求 ， 则 判定 此 客户 端 为 真实 源 ， 防 火 墙 将 该 客户 端的 IP 地 址 加 入 白 名 单 。 然 后 防火 墙 会 
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继续 向 客户 端 发 送 HTTP 重 定向 命令 ， 将 客户 端的 访问 重 定向 到 原始 的 URI， 即 一 开始 
客户 端 访问 的 那个 URI。 在 白 名 单 老化 前 ， 后 续 这 个 客户 端 发 出 的 HTTP 请 求 报 文 都 被 
认为 是 合法 的 报 文 。 














攻击 者 防火 墙 Web 服务 器 
| | 
HTTP | 
伪造 报 广 Wr : 
| 
HTTP 请 求 1 
伪造 报 广 
? 1 
伪造 报 文 HTTP 请 求 : search1.huawei.com } 
9 HTTP 回应 : 请 访问 search2.huawei.com | 
真实 客户 端 
局 HTTP 请 求 : searchl.huawei.com 
B23 
HTTP 回应 : 请 访问 search2.huawei.com | 
HTTP 请 求 : search2.huawei.com 
HTTP 回应 : 请 访问 search1.huawei.com 
HTTP 请 求 : searchl.huaweicom 
HTTP 回应 





HTTP 请 求 


图 3-13 ”HTTP 源 探测 防御 方式 


虽然 在 整个 HTTP 重 定向 过 程 中 ， 客 户 端 要 进行 两 次 重 定向 ， 但 时 间 很 多 ， 而 且 由 
客户 端 上 的 浏览 器 自动 完成 ， 不 会 影响 客户 体验 。 

下 面 我 们 通过 抓 包 信息 来 看 一 下 ， 发 生 HTTP Flood 攻击 时 ， 真 实 客户 端正 常 响应 
防火 墙 HTTP 源 探测 的 过 程 。 

(1) 首先 ， 客 户 端 请 求 URI 为 “/index.html” 的 页 面 ， 如 下 所 示 。 
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No. Time Source Destination Protocol info 
10.000000 120.0.4.2 120.0.7.2 Tr msims > htrp [SYN} Seq<0 Win=65535 Len=0 MSSw1460 SACK_PERMeL 
20.000198 120.0.7.2 4320.0.4.2 TCP Ee > msims [SYN, em es Ack=l Win=d Len=0 MSS"1460 SACK_PEpyt1 
3 0.000236 120.0.4.2 120.0.7.2 [Acx] ] Win~m55535 










000661 : TTP 
7 0.000693 120.0.4.2 120.0.7.2 TCP msims > http [ACK] Seq=329 Ackca66 Win-65171 Len-0 
8 0.000804 120.0.4,2 120.0.7.2 Tep msims > http [FIN, ACK] 5eq=329 Ack=366 Wirm65171 Len=0 
3 .0.000977 120.0.7.2 120: 0:4.2- Tp ~ http > msims [ACK] Seqm366 AcCk=330 win<6517L LereG 
10 0.012661 120;0;4;:2 120.0.7;2 Tp ~ simbaexpress > http [SYN] Seq=D Win=65535 LeneO M5S=1460 SACK_PERMeL 
11 0.012852 120.0.7.2 20.0-4:2- Tp EsYN, 0 Lene0 Mt 
120:0.4.2 TCP 
RTTP 









14 0. 01305] 0 320.0- cml ?sks 
15 0.013263 120.0.7.2 120.0.4.2 HTTP HTTP/1.1 200 OK ety 













Frame 382 bytes on wire 06 bits), 382 bytes captured (3056 birs) 
EA Dst: HuaweiTe b3:e6:fc (00:18:82:b3:e6:Fc) 
E TInternet Protocol, Src: 120.0,4,2 (120. 2 120.0.7.2 (120.0.7.2) 

EE Transmission Control protocol, sre port m51ms {1582), Dst port: http (80), Seq: 3，ACK: 1, Len: 328 


Host: 120.0.7.2\r\n 

User -Agent: Mozilla/5.0 (windows NT 5.2; rv:5.0) Gecko/20100101 Firefox/5.0\r\n 
Accept: text/html ,application/xhtml+xm] ,application/xml;q=0.9,"/*;q=0.8\r\n 
Accept -Language: zh-cn,zh;q=0.5\r\n 
Accept-Encoding: gzip, deflate\r\n 
Accept-Charser: GB2312,utf-8;q=0.7,.*;9=0.7\m\n 
Connection: keep-alive\r\n 

rn 


(2) 防火 墙 收 到 报 文 后 ， 代 替 Web 服务 器 回应 ， 将 客户 端的 访问 重 定向 到 一 个 新 的 
URI“/index.html?sksbjsbmfbclwjcc” 如 下 所 示 。 


protocol Info 
Tp ms lms » herp [SYN} Saqm) Winw65535 Gaon-0 MSSel460 SACK_PERNeL S 
ACK] SeqeD 一- WineG SSn1460 SACK_PERNeL 


Frame S18 bytes on wire (3344 birs), 418 dt re (3344 bits) 
Erherner I1, Src: HuaweitTre b3:e6:fc (00: :b3:e6:fc), Dst: maweire da:af:c4 (00:18:82:da:af:c4#) 
.0.4.2) 


equiv= pragna 
<meta htrp-equiv="expires™ 
</head><body></body></heml>\r\n 





(3) 客户 端 重新 请 求 URI 为 “/index.html?sksbjsbmfbclwjcc” 的 页 面 ， 如 下 所 示 。 


No. Time Source Destination Protocol info 


msims > htrp ESYN] Seu=0 Wirnm65535 LenmO MSSmI460 SACX_PERMmL 
Ds pen bi SO ee 
MS iMms > 8 : i 


sp/ 00 ox een fam) : 
msims > Http IACK] 5eq=329 Ack=266 Wine=651 

> mslms S 
simbaexpress > htrp [5YN] Seq=0 ee -1450 SACK PE 


535 
es obras ERM Wor fro Me 
TACK) Seqxl 


Frame 14: 399 bytes on wire (3192 bits), 399 bytes captired (3192 bits) 
Ethernet II, src: HuaweiTe da:af:c4 (00:18;82:da; 4), Dst: HuaweliTe hb3:e6:fc (00:18; 
‘H Internet protocol, src; 120.0,4,2 (120. De 20.0,7.2 (120.0.7, 2 


有 客户 端 请 求 重 定向 后 的 URI 
HostT: 


User -Agent : “Mozi11a75. 0 (windows NT 5.2; rv:5.0) Gecko/20100101 Firefox/5.0\r\n 
Accept: rext/html ,application/xhtmi+xml ,application/xml;q=0.9,*/*;q"0.8\r\n 
ACCept-Language: zh-cn,zh;q=0.5\r\n 

Accept -Encoding: gzip, deflate: 

Accept -Charset: GB2312,utf-8;9=0.7,*;9=0.7\r\n 

Connection: keep-alive\r\n 

Nrvn 





(4) 防火 墙 收 到 报 文 后 ， 对 包含 新 URI 的 请 求 进行 确认 ， 并 再 次 将 客户 端的 访问 重 
新 定向 到 URI 为 “/index.html” 的 页 面 ， 如 下 所 示 。 
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Close\r\n 
pragma cache\r\n 
Cache-Cortro1: no-cache\r\n 
Content-Type:; text/html; charset=UTF-8\r\n 

WB Content-Lengrh: 205\r\n 
\rn 

3 tine-based text data: text/html 的 i 
<html><head>\r\n 
<meta http-equiv=(Tefresh") content="0; ur l=http://120.0.7. 2{index em] s\n 
<meta http-equiv= pragma content="no-cache">\r\n 
<meta htrp-equiv="expires” content="-1">\M\n 
</head><body></body></html>\r\n 


HTTP 源 探测 方式 可 以 有 效 防御 HTTP Flood 攻击 , 但 是 在 现 网 的 实际 环境 中 ， 要 确 
认 客 户 端 是 否 支持 重 定向 功能 。 例 如 ， 常 见 的 机 顶 盒 设备 就 不 支持 重 定向 功能 。 所 以 在 
HTTP 源 探测 时 ， 一 定 要 确认 网 络 中 是 否 存 在 机 顶 盒 等 客户 端 ， 如 果 有 ， 就 不 能 使 用 此 
方式 ， 否 则 会 影响 正常 业务 。 


3.6.3 ”配置 命令 


如 表 3-5 所 示 , 以 USG9500 系列 防火 墙 V300R001 版 本 为 例 ,给 出 了 防御 HTTP Flood 
攻击 的 配置 命令 。 


表 3-5 HTTP Flood 攻击 防御 命令 行 





firewall defend http-flood enable 
firewall defend http-flood source-detect interface { interface-type 


interface-number | all } alert-rate alert-rate-number [ max-rate max- 
rate-number ] 


前 面 我 们 介绍 了 几 种 常见 的 DDoS 攻击 以 及 防火 墙 针对 这 些 攻击 的 防御 方法 ， 虽 然 
防火 墙 具 备 DDoS 防御 能 力 ， 但 毕竟 不 是 专业 的 DDoS 防御 设备 。 术 业 有 专攻 ， 华 为 公 
司 推出 的 AntiDDoS1000 和 AntiDDoS8000 系列 产品 是 专业 的 AntiDDoS 设备 , 先进 的 防 
御 技术 在 业界 也 是 遥遥 领先 ， 是 华为 公司 的 尖刀 产品 ! 如 需 了 解 AntiDDoS 设备 的 更 多 
内 容 ， 大 家 可 以 登录 华为 公司 网 站 下 载 相关 产品 文档 。 


开启 HTTP Flood 攻击 防御 功能 





配置 HTTP Flood 攻击 防御 参数 


强 叔 提问 


1. 单 包 攻击 分 为 哪 三 大 类 ? 

2. SYN Flood 攻击 有 几 种 防御 方式 ， 使 用 场景 有 什么 差异 ? 

3. 针对 UDP Flood 攻击 的 防御 方式 都 有 哪些 ? 

4. HTTP Flood 的 重 定向 防御 会 对 同一 个 源 发 出 的 每 一 个 HTTP 报 文 都 进行 重 定向 吗 ? 


A 
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4.1 源 NAT 


当 Internet 技术 初 兴 时 ， 人 们 不 会 想到 它 会 发 展 得 如 此 迅 独 ， 短 短 二 十 年 已 然 深入 
到 社会 的 方方面面 。 与 此 同时 , 很 多 之 前 没有 考虑 到 的 问题 也 都 暴露 出 来 了 ， 比 如 全 地 
址 (这 里 指 IPv4 地 址 ) 资源 正在 逐渐 枯竭 。 人 们 在 寻求 替代 方案 的 同时 ， 也 在 积极 研究 
各 种 技术 来 减少 对 IP 地 址 的 消耗 ， 其 中 最 出 色 的 就 是 NAT (Network Address Translation， 
网 络 地 址 转换 ) 技术 。NAT 技术 涵盖 的 功能 很 多 ， 我 们 平时 最 常用 的 就 是 源 NAT。 


4.1.1 源 NAT 基本 原理 


源 NAT 技术 对 IP 报 文 的 源 地 址 进行 转换 ， 将 私 网 卫 地 址 转换 成 公 网 IP 地 址 ， 使 
大 量 私 网 用 户 可 以 利用 少量 公 网 他 地 址 访问 Intemet， 大 大 减少 了 对 公 网 卫 地 址 的 消耗 。 
源 NAT 转换 的 过 程 如 图 4-1 所 示 ， 当 私 网 用 户 访问 Internet 的 报 文 到 达 防 火 墙 时 ， 
防火 墙 将 报 文 的 源 IP 地 址 由 私 网 地 址 转换 为 公 网 地 址 ; 当 回 程 报 文 返回 至 防火 墙 时 ， 防 
火 墙 再 将 报 文 的 目的 地 址 由 公 网 IP 地 转换 为 私 网 地 址 。 整 个 NAT 转换 过 程 对 于 内 部 网 
络 中 的 用 户 和 Internet 上 的 主机 来 说 是 完全 透明 的 。 
IP 报 文 IP 报 文 






私 网 用 户 
192.16802 2101.12 
Da 目的 地 址 : 210.1.1.2 »> 目的 地 址 : 210.1.1.2 








IP 报 文 防火 墙 IP 报 文 
< 
NAT 


图 4-1 源 NAT 转换 过 程 


源 NAT 包括 很 多 转换 方式 ， 在 介绍 各 种 方式 的 特点 和 异同 前 ， 先 介绍 一 下 “NAT 
地 址 池 ” NAT 地 址 池 是 一 个 虚拟 的 概念 ， 它 形象 地 把 “ 公 网 IP 地 址 的 集合 ”比喻 成 一 
个 “ 放 了 地址 的 池子 或 容器 ”， 防 火 墙 在 进行 地 址 转换 时 就 是 从 NAT 地 址 池 中 挑选 出 一 
个 公 网 全 地 址 ， 然 后 对 私 网 IP 地 址 进行 转换 。 挑 选 哪个 公 网 IP 地 址 是 随机 的 ， 和 配置 
时 的 顺序 、IP 地 址 大 小 等 因素 都 没有 关系 。 

下 面 给 出 了 USG2000/5000 系列 防火 墙 上 配置 NAT 地 址 池 的 命令 , NAT 地 址 池 中 一 
共 包 含 4 个 公 网 地 址 。 本 章 后 续 内 容 中 ， 如 无 特殊 情况 ， 涉 及 NAT 地 址 池 的 命令 均 以 
USG2000/5000 为 例 。 

[FW] nat address-group 1 202.1.1.2 202.1.1.5 

NAT 地 址 池 配 置 完成 后 ， 会 被 NAT 策略 所 引用 。 在 USG2000/5000 系列 防火 墙 上 ， 
NAT 策略 与 安全 策略 相似 ， 也 是 由 条 件 和 动作 组 成 。 不 同 的 是 ，NAT 策略 中 的 动作 是 
“ 源 NAT 转换 ”和 “不 进行 NAT 转换 ”， 当 动作 是 “ 源 NAT 转换 ”时 必须 引用 NAT 地 
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址 池 ， 如 图 4-2 所 示 。 同 样 ， 本 章 后 续 内 容 中 ， 如 无 特殊 情况 ， 涉 及 NAT 策略 的 命令 均 
以 USG2000/5000 为 例 。 


NAT 策略 1 
! 条 件 动作 


; | 源 地 址 | 目的 地 址 | .| | 源 NAT 转换 | 不 进行 NAT 转换 || ; 匹配 顺序 


a 
! | 源 地 址 | 目的 地 址 | .… 源 NAT 转换 | 不 进行 NAT 转换 | ; 


图 4-2 NAT 策略 组 成 


多 条 NAT 策略 之 间 存 在 匹配 顺序 ， 如 果 报 文 命中 了 某 一 条 NAT 策略 ， 就 会 按照 该 
NAT 策略 中 引用 的 地 址 池 来 进行 地 址 转换 ， 如 果 报 文 没 有 命中 某 条 NAT 策略 ， 则 会 向 
下 继续 查找 。 

通过 配置 多 条 NAT 策略 可 以 灵活 处 理 内 部 网 络 访问 Internet 的 需求 ， 例 如 ， 内 部 网 
络 中 有 两 个 用 户 群 ， 用 户 群 1 (192.168.0.2~192.168.0.5) 和 用 户 群 2 (192.168.0.6 一 
192.168.0.10) 要 求 使 用 不 同 的 公 网 卫 地 址 访问 Internet。 如 果 将 公 网 IP 地 址 都 放 在 一 个 
NAT 地 址 池内 ， 由 于 地 址 转换 是 随机 从 NAT 地 址 池 中 选取 公 网 PP 地 址 的 ， 所 以 无 法 满 
足 此 需求 。 

此 时 可 以 将 公 网 卫 地 址 分 别 放 在 两 个 不 同 的 NAT 地 址 池内 ， 然 后 配置 两 条 分 别 以 
用 户 群 1 和 用 户 群 2 源 地 址 为 条 件 的 NAT 策略 ， 并 指定 用 户 群 1 使 用 NAT 地 址 池 1 进 
行 地 址 转换 ， 用户 群 2 使 用 地 址 池 2 进行 地 址 转换 。 这 样 ， 两 个 用 户 群 进行 NAT 转换 后 
的 公 网 人 P 地 址 就 是 不 同 的 了 。 

华为 防火 墙 支 持 的 源 NAT 转换 方式 如 表 4-1 所 示 , 强 叔 先 奉 它们 做 一 个 简单 的 自我 
介绍 。 


表 4-1 华为 防火 墙 支持 的 源 NAT 转换 方式 列表 
















需要 上 网 的 私 网 用 户 数量 少 ， 公 网 IP 
NAT No-PAT 只 转换 报 文 的 下 地址， 不 转换 端口 “| 地 址 数量 与 同时 上 网 的 最 大 私 网 用 户 
数量 基本 相同 


公 网 P 地 址 数量 少 ， 需 要 上 网 的 私 网 


同时 转换 报 文 的 他 地址 和 端口 用 户 数量 大 
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( 续 表 ) 






出 接口 地 址 方式 | 同时 转换 报 文 的 P 地 址 和 端口 ， 但 转 | 只 有 一 个 公 网 IP 地 址 ， 并 且 该 公 网 地 
CEasy-IP) 换 后 的 全 地 址 只 能 为 出 接口 的 他 地 址 | 址 在 接口 上 是 动态 获取 的 


一 、 
Te 党 
主 | 













预 留 一 个 公 网 下 地 址 进行 NAPT 方 式 | 于 时 上 上 网 的 用 广 数 量 少 ， 公 网 下 地 址 数 
Smart NAT 转换 ， 其 他 公 网 IP 地 址 进行 NAT 量 与 同时 上 网 的 最 大 私 网 用 户 数 量 基 本 
| 相同 ， 个 别 时 间 段 的 上 网 用 户 数量 激增 ， 
公 网 人 P 地 址 数量 远 远 小 于 上 网 用 户 数量 
将 私 网 源 人 地 址 和 端口 转换 为 固定 的 2 
三 元 组 NAT | 公 网 全 地 址 和 端口, 解决 NAPT 方 式 | 用 于 外 网 用 户主 动 访问 私 网 用 户 的 场 


随机 转换 地 址 和 端口 带 来 的 问题 ”| 最 ， 们 如 了 2P 业务 的 汤 景 


每 种 源 NAT 转换 方式 都 曾 在 IP 网 络 中 走 过 秀 、 亮 过 相 ， 都 有 自己 的 特色 ， 但 也 都 
有 自己 不 足 ， 下 面 强 叔 就 带领 大 家 一 起 品味 一 下 吧 。 


4.1.2 NAT No-PAT 


“No-PAT” 表 示 不 进行 端口 转换 ， 所 以 NAT No-PAT 方式 只 转换 IP 地 址 ， 故 也 称 为 
“一 对 一 地 址 转换 ” 下 面 以 图 4-3 所 示 的 组 网 环境 为 例 介 绍 No-PAT 方式 的 配置 过 程 ， 
假设 防火 墙 和 Web 服务 器 之 间 路 由 可 达 。 


NAT 地 址 池 
202.1,1.2 过 202.1.13 





4-3 NAT No-PAT 方式 组 网 图 


NAT No-PAT 方式 的 配置 过 程 如 下 。 
(1) 配置 NAT 地址 池 和 NAT 策略 
配置 NAT 地 址 池 : 


[FW] nat address-group 1 202.1.1.2 202.1.1.3 /地 址 池 中 配置 两 个 公 网 卫 地 址 
配置 NAT 策略 : 


[FW] nat-policy interzone trust untrust outbound 
[FW-nat-policy-interzone-trust-untrust-outbound] policy 1 9 ~ 
[FW-nat-policy-interzone-trust-untrust-outbound-1] poliey source 192. 168.0， 00.0. 0.255 /匹配 条 件 
[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat // 动 作为 进行 源 NAT 转换 
[FW-nat-policy-interzone-trust-untrust-outbound- -1] address-group 1 op ‘ De ne Sa 
[FW-nat-policy-interzone-trust-untrust-outbound-1] quit 
[FW-nat-policy-interzone-trust-untrust-outbound] quit 
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完成 NAT 的 相关 配置 后 ， 接 下 来 强 叔 还 要 强调 两 个 重要 配置 : 安全 策略 和 黑洞 路 由 。 

(2) 配置 安全 策略 

安全 策略 和 NAT 策略 从 字面 上 看 很 相近 , 但 是 二 者 各 司 其 职 : 安全 策略 的 作用 是 控 
制 报 文 能 否 通过 防火 墙 ， 而 NAT 策略 的 作用 是 对 报 文 进行 地 址 转换 ， 因 此 配置 NAT 的 
时 候 也 需要 配置 安全 策略 允许 报 文通 过 。 由 于 防火 墙 对 报 文 进行 安全 策略 处 理发 生 在 进 
行 NAT 策略 处 理 之 前 ， 所 以 如 果 要 针对 源 地址 设置 安全 策略 ， 则 源 地 址 应 该 是 进行 NAT 
转换 之 前 的 私 网 地 址 。 

[FW] policy interzone trust untrust outbound 

[FW-=policy-interzone-trust-untrust-outbound] policy 1 

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255 

[FW-policy-interzone-trust-untrust-outbound-1] action permit 

[FW-policy-interzone-trust-untrust-outbound-1] quit 

[FW-policy-interzone-trust-untrust-outbound] quit 


(3) 配置 黑洞 路 由 

黑洞 路 由 是 一 个 让 报 文 “ 有 去 无 回 ” 的 路 由 ， 它 的 效果 就 是 让 防火 墙 丢 弃 命 中 黑洞 
路 由 的 报 文 。 为 了 避免 产生 路 由 环 路 , 在 防火 墙 上 必须 针对 地 址 池 中 的 公 网 IP 地 址 配置 
黑洞 路 由 。 这 里 我 们 先 给 出 配置 ， 关 于 黑洞 路 由 产生 的 原因 我 们 将 在 后 文中 介绍 。 


[FW] ip route-static 202.1.1.2 32 NULL 0 
[FW] ip route-static 202.1.1.3 32 NULL 0 


完成 上 述 配 置 后 , 私 网 用 户 访问 Web 服务 器 , 在 防火 墙 上 可 以 查看 到 会 话 表 信 息 , 如 下 。 


[FW] display firewall session table 
Current Total Sessions : 1 
http VPN:public --> public 192.168.0.2:2050[202.1.1.2:2050]-->210.1.1.2:80 
http VPN:public --> public 192.168.0.3:2050[202.1.1.3:2050]-->210.1.1.2:80 


从 会 话 表 中 可 以 看 到 ， 两 个 私 网 用 户 的 IP 地 址 已 经 分 别 转换 为 两 个 不 同 的 公 网 了 
地 址 《中 括号 [] 内 的 是 经 过 地 址 转换 后 的 IP 地 址 和 端口 )， 而 端口 没有 转换 。 

大 家 还 记得 我 们 在 “第 2 章 安全 策略 ”中 提 到 过 的 Server-map 表 吧 ，NAT No-PAT 
方式 也 会 生成 Server-map 表 ， 而 且 生 成 了 正 向 和 反 向 两 条 表 项 。 


[FW] display firewall server-map 
server-map item(s) 








No-Pat, 192.168.0.2[202.1.1.2] -> any, Zone: 一 
Protocol: any(Appro: ---), Left-Time: 00:11:59, Addr-Pool: 1 
VPN: public -> public 


No-Pat Reverse, any -> 202.1.1.2[192.168.0.2], Zone: untrust 
Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: 一 
VPN: public -> public 


No-Pat, 192.168.0.3[202.1.1.3] -> any, Zone: --- 
Protocol: any(Appro: -—-), Left-Time: 00:11:59, Addr-Pool: 1 
VPN: public -> public 


_No-Pat Reverse, any -> 202.1.1.3[192.168.0.3], Zone: untrust 
Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: -一 
VPN: public -> public 
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这 里 生成 的 正 向 Server-map 表 的 作用 是 保证 特定 私 网 用 户 访问 Internet 时 ， 可 以 快 
速 转换 地 址 。 因 为 转换 方式 是 No-PAT， 一 个 私 网 用 户 就 对 应 一 个 公 网 IP 地 址 ， 那 么 在 
一 段 时 间 之 内 ， 私 网 用 户 访问 Internet 的 报 文 ， 直 接 命 中 Server-map 表 进 行 地 址 转换 ， 
提高 了 处 理 效 率 。 同 理 ，Internet 上 的 用 户主 动 访问 私 网 用 户 的 报 文 ， 也 可 以 命中 反 上 向 
Server-map 表 直 接 进 行 地 址 转换 ， 但 有 一 点 需要 注意 ， 命 中 Server-map 表 后 还 需要 进行 
安全 策略 的 检查 ， 只 有 安全 策略 允许 报 文 通过 ， 报 文才 能 通过 防火 墙 。 

此 时 内 部 网 络 中 的 其 他 私 网 用 户 是 无 法 访问 Web 服务 器 的 ， 因 为 NAT 地 址 池 中 只 
有 两 个 公 网 全 地 址 , 已 经 被 两 个 私 网 用 户 占 用 了 ,其 他 私 网 用 户 必须 等 待 公 网 地 址 被 释 
放 后 才能 访问 Web 服务 器 。 可 见 ， 在 NAT No-PAT 的 转换 方式 中 ， 一 个 公 网 人 P 地 址 不 
能 同时 被 多 个 私 网 用 户 使 用 ,其 实 并 没有 起 到 节省 公 网 IP 地 址 的 效果 。 下 面 我 们 就 来 介 
绍 真正 可 以 节省 公 网 人 P 地 址 的 NAPT 方式 。 


4.1.3 NAPT 


NAPT (Network Address and Port Translation ) 表示 网 络 地 址 和 端口 转换 ， 即 同时 对 
IP 地 址 和 端口 进行 转换 ， 也 可 称 为 PAT (PAT 不 是 只 转换 端口 的 意思 ， 而 是 人 P 地 址 和 端 
口 同时 转换 )。NAPT 是 一 种 应 用 最 广泛 的 地 址 转换 方式 ， 可 以 利用 少量 的 公 网 人 P 地 址 
来 满足 大 量 私 网 用 户 访问 Internet 的 需求 。 

NAPT 方式 和 NAT No-PAT 方式 在 配置 上 的 区 别 仅 在 于 : NAPT 方式 的 NAT 策略 在 
引用 NAT 地 址 池 时 ， 不 配置 关键 字 “no-pat”， 其 他 的 配置 都 是 一 样 的。 我 们 还 是 以 
图 4-3 所 示 的 组 网 环境 为 例 给 出 NAPT 方式 的 配置 过 程 。 

(1) 配置 NAT 地 址 池 

[FW] nat address-group 1 202.1.1.2 202.1.1.3 

(2) 配置 NAT 策略 


[FW] nat-policy interzone trust untrust outbound 
[FW-nat-policy-interzone-trust-untrust-outbound] policy 1 
[FW-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255 
[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
[FW-nat-policy-interzone-trust-untrust-outbound-1] address-group 1 /引用 NAT 地 址 池 
[FW-nat-policy-interzone-trust-untrust-outbound-1] quit 
[FW-nat-policy-interzone-trust-untrust-outbound] quit 


(3) 配置 安全 策略 


[FWI] policy interzone trust untrust outbound 
[FW-policy-interzone-trust-untrust-outbound] policy 1 
[EW-policy-interzone-trust-untrust-outbound-1] policy seurce 192.168.0.0 0.0.0.255 
[FW-policy-interzone-trust-untrust-outbound-1] action permit 
[FW-policy-interzone-trust-untrust-outbound-1] quit 
EW-policy-interzone-trust-untrust-outbound] quit 


(4) 配置 黑洞 路 由 


[FW] ip route-static 202.1.1.2 32 NULL0 
[FW] ip route-static 202.1.1.3 32 NULL 0 


完成 上 述 配 置 后 ， 私 网 用 户 访问 Web 服务 器 ， 人 


[FW] display firewall session table 
Current Total Sessions : 2 
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http -VPN:public -> public 192.168.0.2:2053[202.1.1.2:2048]-->210.1.1.2:80 、 
http - VPN:public -> public 192.168.0.3:2053[202.1.1.3:2048]-->210.1.1.2:80 


从 会 话 表 中 可 以 看 到 ， 两 个 私 网 用 户 的 人 P 地 址 已 经 分 别 转换 为 两 个 不 同 的 公 网 IP 
地 址 ， 同 时 端口 也 转换 为 新 的 端口 。 
此 时 内 部 网 络 中 的 其 他 私 网 用 户 也 能 够 成 功 访问 Web 服务 器 , 防火 墙 上 可 以 查看 到 
会 话 信 忌 。 
ro ane 、 
http ‘VPN:public --> public 192. 168.02: 2053[202.1. 2300 22101 1.2:80 


http VPN:public -> public 192.168.0.3:2053[202.1.1.3:2048]-->210.1.1.2:80 
http VPN:public -> public 192.168.0.4:2051[202.1.1.2:2049]-->210.1.1.2:80 


从 会 话 表 中 可 以 看 到 ， 新 的 私 网 用 户 与 原 有 的 私 网 用 户 共用 了 同一 个 公 网 JP 地址， 
但 是 端口 不 一 样 。 两 者 在 转换 后 的 公 网 IP 地 址 是 一 样 的 , 但 转换 后 的 端口 不 同 ， 这 样 就 
不 用 担心 转换 冲突 的 问题 。 

另外 需要 注意 ，NAPT 方式 不 会 生成 Server-map 表 ， 这 一 点 与 NAT No-PAT 方式 方 
式 不 同 。 


4.1.4 ”出 接口 地 址 方式 


出 接口 地 址 方式 (Easy-IP〉 指 的 是 利用 出 接口 的 公 网 IP 地 址 作为 NAT 转换 后 的 地 
址 ， 也 同时 转换 地 址 和 端口 ， 一 个 公 网 卫 地址 可 以 同时 被 多 个 私 网 用 户 使 用 ,可 以 看 成 
是 NAPT 方式 的 一 种 “ 变 体 ”。 

出 接口 地 址 方式 的 应 用 场景 比较 特殊 ， 当 防火 墙 上 的 公 网 接口 通过 拨号 方式 动态 获 
取 公 网 IP 地 址 时 ， 如 果 只 想 使 用 这 一 个 公 网 IP 地 址 来 进行 地 址 转换 ， 这 个 时 候 就 不 能 
在 NAT 地 址 池 中 配置 固定 的 地 址 ， 因 为 公 网 卫 地 址 是 动态 变化 的 。 此 时 可 以 使 用 出 接 
口 地 址 方式 ， 即 使 出 接口 上 获取 的 公 网 IP 地 址 发 生变 化 ， 防 火 墙 也 会 按照 新 的 公 网 卫 
地 址 来 进行 地 址 转换 。 出 接口 地 址 方式 简化 了 配置 过 程 ， 所 以 也 叫 作 Easy-IP 方式 ， 目 
前 USG2000/5000/6000 系列 防火 墙 支持 Easy-IP 方式 。 

Easy-IP 方式 无 需 配置 NAT 地 址 池 ， 也 不 用 配置 黑洞 路 由 ， 只 需 在 NAT 策略 中 指定 
出 接口 即 可 ， 下 面 以 图 4-4 所 示 的 组 网 环境 为 例 介 绍 Easy-IP 方式 的 配置 过 程 。 


GE 1/0/2 
动态 获取 地 址 





图 4-4 Easy-IP 方式 组 网 图 
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Easy-IP 方式 的 配置 过 程 如 下 。 

(1) 配置 NAT 策略 

[FW] nat-policy interzone trust untrust outbound 
[FW-nat-policy-interzone-trust-untrust-outbound] policy 1 
[FW-nat-policy-interzone-trust-untrust-outbound-1] pojiey source 192.168.0.0 0.0.0.255 
[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
[FW-nat-policy-interzone-trust-untrust-outbound-1] easy-ip GigabitEthernet1/0/2 /指定 出 接口 
[FW-nat-policy-interzone-trust-untrust-outbound-1] quit 
[FW-nat-policy-interzone-trust-untrust-outbound] quit 


《2) 配置 安全 策略 


[FW] policy interzone trust untrust outbound 
[FW-policy-interzone-trust-untrust-outbound] policy 1 
[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255 
[FW-policy-interzone-trust-untrust-outbound-1] action permit 
[FW-policy-interzone-trust-untrust-outbound-1] quit 
[FW-policy-interzone-trust-untrust-outbound] quit 


私 网 用 户 访问 Web 服务 器 ， 在 防火 墙 上 可 以 查看 到 会 话 表 信 息 。 


[FW] display firewall session table 

Current Total Sessions : 2 
http VPN:public --> public 192.168.0.2:2054[202.1.1.1:2048]-->210.1.1.2:80 
http VPN:public --> public 192.168.0.3:2054[202.1.1.1:2049]-->210.1.1.2:80 


可 见 ， 两 个 私 网 用 户 的 人 P 地 址 已 经 转换 为 出 接口 的 公 网 全 地 址 (这 里 是 202.1.1.1)， 
同时 端口 也 转换 为 新 的 端口 。 如 果 内 部 网 络 中 的 其 他 私 网 用 户 也 访问 Web 服务 器 ， 防 火 墙 
同样 会 对 其 报 文 进行 地 址 转换 ， 转 换 后 的 公 网 地 址 还 是 202.1.1.1， 端 口 是 一 个 新 的 端口 。 

此 外 ， 和 NAPT 一 样 ，Easy-IP 方式 也 不 会 生成 Server-map 表 。 


4.1.5 Smart NAT 


前 面 我 们 介绍 过 NAT No-PAT 方式 ， 它 是 一 种 “一 对 一 地 址 转换 ”NAT 地 址 池 中 的 公 
网 IP 地 址 被 私 网 用 户 占 用 后 ， 其 他 私 网 用 户 就 无 法 再 使 用 该 公 网 人 地 址 ， 也 就 无 法 访问 
Intemet。 在 这 种 情况 下 如 何 使 其 他 私 网 用 户 也 能 访问 Intemet 呢 ? Smart NAT 方式 登场 了 。 

Smart NAT 方式 也 叫 作 “聪明 的 NAT”， 这 是 因为 它 融 合 了 NAT No-PAT 方式 和 
NAPT 方式 的 特点 ， 它 的 实现 原理 如 下 。 

假设 Smart NAT 方式 使 用 的 地 址 池 中 包含 NN 个 IP, 其 中 一 个 卫 被 指定 为 预 留 地 址 ， 
另外 N-1 个 地 址 构成 地 址 段 1 (section1)。 进 行 NAT 地 址 转换 时 ，Smart NAT 会 先 使 用 
sectionl 进行 NAT No-PAT 方式 的 转换 ， 即 一 对 一 的 地 址 转换 。 当 sectionl 中 的 卫 都 被 
占用 后 ，Smart NAT 才 使 用 预 留 地 址 进行 NAPT 方式 的 转换 ， 即 多 对 一 的 地 址 转换 。 

其 实 我 们 可 以 把 Smart NAT 方式 理解 成 是 对 NAT No-PAT 功能 的 增强 ， 它 克服 了 
NAT No-PAT 的 缺点 一 一 只 能 让 有 限 的 私 网 用 户 访问 Internet， 当 私 网 用 户 数 量 大 于 地 址 
池 中 公 网 人 P 地 址 数量 时 ， 后 面 的 私 网 用 户 将 无 法 访问 Internet， 只 能 等 待 公 网 卫 地 址 被 
释放 (会 话 老化 )。 

使 用 Smart NAT 方式 后 , 即使 某 一 时 刻 私 网 用 户 数量 激增 ，Smart NAT 也 留 有 后 手 ， 
即 预 留 一 个 公 网 IP 地 址 进行 NAPT 方式 的 地 址 转换 , 这 样 就 可 以 满足 大 量 新 增 的 私 网 用 
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户 访问 Internet 的 需求 。 
目前 华为 USG9500 系列 防火 墙 V300R001 版 本 支持 Smart NAT 方式 ， 下 面 我 们 就 以 
USG9500 系列 防火 墙 为 例 ， 结 合 图 4-5 所 示 的 组 网 环境 ， 给 出 Smart NAT 方式 的 配置 过 程 。 


NAT 地 址 池 
seciton1 : 202.1.1.2 
预 留 地 址 : 202.1.1.3 





4-5 ”Smart NAT 方式 组 网 图 


Smart NAT 方式 的 配置 过 程 如 下 。 
(1) 配置 NAT 地 址 池 





[FW-addre ; // 预 留 地 址 
[PW address group 1 section 1202.1.1.2 202.1.1.2 。 /section 中 不 能 包含 预 留 地 址 
FEW-address-group-1] quit 


(2) 配置 NAT 策略 







polic: nemane tnec ntnet oubounr] pobey souree 192 Soman 


/引用 NAT 地 址 池 


(4) 配置 黑洞 路 由 
[FW] ip route-static 202.1.1.2 32 NULL 0 


~ [FW] ip route-static 202.1.1.332 NULLO : 
完成 上 述 配 置 后 ， 内 部 网 络 中 的 一 个 私 网 用 户 访问 Web 服务 器 ， ， 在 防火 墙 上 可 以 查 
有 全 下 守信 息 。 
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Slot 2CPU:3 ， 
http VPN:public --> public 192 .168, 0.2:2053[202.1.1.2:2053]-->210.1.1.2:80 
从 会 话 表 中 可 以 看 到 ,该 私 网 用 户 的 I 了 P 地 址 已 经 转换 为 sectionl 中 的 公 网 卫 地 址 ， 
端口 没有 转换 。 
此 时 内 部 网 络 中 的 其 他 私 网 用 户 也 能 够 成 功 访问 Web 服务 器 , 防火 墙 上 可 以 查看 到 
会 话 信 息 。 
« [FW] display firewall session table 
Current total sessions: 3 
.Slot: 2 CPU: 3 
http VPN:public -- — public 192.168.0.2: ;2053[202.1.1.2: 2053]-->210. 1.1.2:80 


http VPN:public -> public 192.168.0.3:2053[202.1.1.3:2048]-->210.1.1.2:80 
http VPN:public --> public 192.168.0.4:2053[202.1.1.3:2049]-->210.1.1.2:80 


从 会 话 表 中 可 以 看 到 ， 两 个 私 网 用 户 的 卫 地 址 已 经 都 转换 为 预 留 的 公 网 PP 地 址 ， 同 时 
端口 也 转换 为 新 的 端口 ， 说 明 防 火 墙 对 这 两 个 私 网 用 户 进行 了 NAPT 方式 的 地 址 转换 。 即 
只 有 公 网 IP 地 址 〈 除 预 留 了 了) 被 NAT No-PAT 转换 用 尽 了 的 时 候 才 会 进行 NAPT 转换 。 

我 们 再 看 看 Server-map 表 ， 因 为 Smart NAT 方式 中 包括 了 NAT No-PAT 方式 的 地 址 
转换 ， 所 以 防火 墙 上 生成 了 相应 的 Server-map 表 。 


[FW] display firewall server-map 
~ ServerMap item(s) on slot 2 cpu 3 


”和 


Type: No-Pat, 192.168.0.2[202.1.1.2] -> ANY, Zone: untrust 
Protocol: ANY(Appro: unknown), Left-Time:00:05:55, Pool: 1, Section: I 
~ Vpn: public -> public 


Type: No-Pat Reverse, ANY -> 202.1.1.2[192.168.0.2], Zone: untrust 
。 Protocol: ANY(Appro: unknown), Left-Time:- 一 ， Pool: 1, Section: 1 
Vpn: public -> public 


4.1.6 ”三 元 组 NAT 


前 面 我 们 介绍 了 4 种 源 NAT 转换 方式 ， 其 中 NAPT 应 用 最 广泛 ， 不 但 解决 了 公 网 
PP 地 址 短缺 的 问题 ， 还 隐藏 了 内 部 主机 的 私 网 卫 地 址 ， 提 高 了 安全 性 。 但 是 NAT 技术 
与 目前 广泛 应 用 于 文件 共享 、 语 音 通信 、 视 频传 输 等 方面 的 P2P 技术 不 能 很 好 地 共存 ， 
当 P2P 业务 遇 到 NAT 的 时 候 ， 产 生 的 不 是 完美 的 “NAT-P2P”， 而 是 …… 你 可 能 无 法 下 
载 最 新 的 影视 资源 、 无 法 进行 视频 聊天 。 

为 了 解决 P2P 业务 和 NAT 共存 的 问题 ， 我 们 就 要 用 到 一 种 新 的 地 址 转换 方式 : 三 
元 组 NAT。 在 介绍 三 元 组 NAT 方式 之 前 ， 我 们 先 来 看 一 下 P2P 业务 的 交互 过 程 ， 以 及 
在 NAPT 方式 下 P2P 业务 会 遇 到 什么 问题 。 

如 图 4-6 所 示 ，PC1 和 PC2 是 两 台 运 行 P2P 业务 的 客户 端 ， 它 们 运行 P2P 应 用 时 首 
先 会 和 P2P 服务 器 进行 交互 (登录 、 认 证 等 操作 )，P2P 服务 器 会 记录 客户 端的 地 址 和 端 
口 。 如 果 PC1 位 于 内 部 网 络 ， 防 火 墙 会 对 PC1 访问 P2P 服务 器 的 报 文 进行 NAPT 方式 
的 转换 ， 这 样 P2P 服务 器 上 记录 的 是 经 过 转换 后 的 公 网 地 址 和 端口 。 当 PC2 需要 下 载 文 
件 时 ， 服 务 器 会 将 拥有 该 文件 的 客户 端的 地 址 和 端口 发 送 给 PC2〈 如 PC1 的 地 址 和 端 
口 )， 然 后 PC2 会 向 PC1 发 送 请 求 ， 并 从 PC1 上 下 载 文 件 。 
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P2P Server 
PC1 (P2P Client) 





PC2 (P2P Client) 
图 4-6 P2P 业务 交互 过 程 


上 述 交 互 过 程 看 起 来 似乎 很 顺畅 ， 但 是 对 于 P2P 业务 来 说 ， 存 在 两 个 问题 。 

(1) 为 了 保持 联系 , PC1 会 定期 向 P2P 服务 器 发 送 报 文 , 该 报 文 在 防火 墙 上 经 过 NAPT 
方式 的 转换 后 ，NAPT 方式 决定 了 转换 后 的 端口 并 不 是 固定 的 ,会 动态 变化 。 这 样 的 话 ， 
P2P 服务 器 记录 的 PC1 的 地 址 和 端口 的 信息 也 要 经 常 刷新 ， 会 影响 P2P 业务 正常 运行 。 

(2) 更 重要 的 是 , 根据 防火 墙 的 转发 原理 ， 只 有 P2P 服务 器 返回 给 PC1 的 报 文 命中 
会 话 表 后 才能 通过 防火 墙 ， 其 他 主机 如 PC2 不 能 通过 转换 后 的 地 址 和 端口 来 主动 访问 
PC1， 默 认 情况 下 ， 防 火 墙 上 的 安全 策略 不 允许 这 一 类 的 访问 报 文通 过 。 

三 元 组 NAT 方式 可 以 完美 地 解决 上 述 两 个 问题 ， 因 为 三 元 组 NAT 方式 在 进行 转换 
时 有 以 下 两 个 特点 。 

(1) 对 外 呈现 端口 一 致 性 

PC1 访问 P2P 服务 器 后 , 在 一 段 时 间 内 , PC1 再 次 访问 P2P 服务 器 或 者 访问 Internet 
上 的 其 他 主机 时 , 防火 墙 都 会 将 PC1 的 端口 转换 成 相同 的 端口 , 这 样 就 保证 了 PC1 对 外 
所 呈现 的 端口 的 一 致 性 ， 不 会 动态 变化 。 

(2) 支持 外 网 主动 访问 

无 论 PC1 是 否 访问 过 PC2， 只 要 PC2 获取 到 PC1 经 过 NAT 转换 后 的 地 址 和 端口 ， 
就 可 以 主动 向 该 地 址 和 端口 发 起 访问 。 防 火 墙 上 即使 没有 配置 相应 的 安全 策略 ， 也 允许 
此 类 访问 报 文通 过 。 

正 是 由 于 三 元 组 NAT 的 这 两 个 特点 ， 使 得 P2P 业务 可 以 正常 运行 。 目 前 华为 
USG9500 系列 防火 墙 V300R001 版 本 支持 三 元 组 NAT 方式 , 下 面 我 们 结合 图 4-7 所 示 的 
组 网 环境 ， 给 出 三 元 组 NAT 的 配置 过 程 。 


NAT 地 址 池 
202.1.1.2 一 202.1.1.3 





图 4-7 三 元 组 NAT 方式 组 网 图 
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[0 说 明 


对 于 USG2000/5000/6000 系列 防火 墙 来 说 ， 可 以 通过 配置 User-defined 协议 的 ASPF 
来 保证 P2P 业务 的 正常 运行 。 


三 元 组 NAT 方式 的 配置 过 程 如 下 (三 元 组 NAT 不 能 配置 黑洞 路 由 ， 和 否则 会 影响 
业务 )。 

(1) 配置 NAT 地 址 池 

[FW] nat address-group 1 

[FW-address-group-1] mode full-cone local /指定 模式 为 三 元 组 NAT 方式 


[FW-address-group-1] section 1 202.1.1.2 202.1.1.3 
[FW-address-group-1] quit 


(2) 配置 NAT 策略 


[FW] nat-policy interzone trust untrust outbound 
[FW-nat-policy-interzone-trust-untrust-outbound] policy 1 
[FW-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255 
[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
[FW-nat-policy-interzone-trust-untrust-outbound-1] address-group 1 // 引 用 NAT 地 址 池 
[FW-nat-policy-interzone-trust-untrust-outbound-1] quit 
[FW-nat-policy-interzone-trust-untrust-outbound] quit 
(3) 配置 安全 策略 
[FW] policy interzone trust untrust outbound 
[FW-policy-interzone-trust-untrust-outbound] policy 1 
[FW-policy-interzone-trust-untrust-outbound-]1] policy source 192.168.0.0 0.0.0.255 
[FW-policy-interzone-trast-untmst-outbound-1] action permit 
[FW-policy-interzone-trust-untrust-outbonnd-1] quit 
[FW-policy-interzone-trust-untrust-outbound] quit 
完成 上 述 配置 后 ， 内 部 网 络 中 的 P2P 客户 端 访问 P2P 服务 器 ， 在 防火 墙 上 可 以 查看 
到 会 话 表 信 息 。 

[FW] display firewall session table 

Current total sessions: 1 

Slot: 2 CPU: 3 

tep VPN: public --> public 192.168.0.2:4661[202.1.1.2:3536] --> 210.1.1.2:4096 
从 会 话 表 中 可 以 看 到 ，P2P 客户 端的 IP 地 址 已 经 转换 为 公 网 了 地址， 端口 也 进行 

了 转换 。 下 面 我 们 重点 来 看 一 下 在 这 个 过 程 中 防火 墙 上 生成 的 Server-map 表 。 


[0 说 明 

一 ”Server-map 表 中 的 “Untrust” 安 全 区 域 因 mode full-cone local 命令 中 的 local 参数 
而 产生 。 如 果 命 令 是 mode full-cone global 的 话 ，Zone 为 空 ， 表示 不 对 安全 区 域 
进行 限制 。 

一 ”Server-map 表 中 “FullCone”( 全 圆锥 ) 字段 的 含义 我 们 在 “4.1.9 延伸 阅读 ”中 
介绍 。 


[FW] display firewall server-map 
ServerMap item(s) on slot 2 cpu 3 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
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Type: FullCone Sre, 192.168.0.2:4661[202.1.1.2: 3536] -> ANY, Zone: Untrust 
Protocol: tep(Appro: ---), Left-Time:00:00:58， Pool: 1, Section: 0 
Vpn: public -> public 

Hotversion: 2 


‘Type: FullCone Dst, ANY -> 202.1.1.2:3536[192.168.0.2:4661]， Zone:Untrust 
Protocol: tep(Appro: ---)， Left-Time:00:00:58， Pool: 1, Section: 0 ， 
Vpn: public -> public 

Hotversion: 2 


从 Server-map 表 中 可 以 看 到 ， 防 火 墙 为 三 元 组 NAT 方式 生成 了 两 条 Server-map 表 
项 , 分 别 是 源 Serverv-map 表 项 (FullCone Src) 和 目的 Serverv-map 表 项 (FullCone Dst)。 
这 两 条 Server-map 表 项 的 作用 如 下 。 
。 源 Serverv-map 表 项 (FullCone Src) 
表 项 老化 之 前 ，PC1 访问 Untrust 安全 区 域内 的 任意 主机 (ANY) 时 ，NAT 转换 
后 的 地 址 和 端口 都 是 202.1.1.2:3536， 端 口 不 会 变化 ， 这 样 就 保证 了 PC1 对 外 所 
呈现 的 端口 的 一 致 性 。 
e 目的 Serverv-map 表 项 (FullCone Dst) 
表 项 老化 之 前 ，Untrust 安全 区 域内 的 任意 主机 ANY) 都 可 以 通过 202.1.1.2 的 
3536 端口 来 访问 PC1 的 4661 端口 ,这样 就 保证 了 Internet 上 的 P2P 客户 端 可 以 
主动 访问 PC1。 
由 此 可 知 ， 三 元 组 NAT 方式 通过 源 和 目的 Serverv-map 表 项 解决 了 P2P 业务 与 NAT 
地 址 转换 共存 时 的 问题 。 从 源 和 目的 Serverv-map 表 项 中 还 可 以 看 出 ， 三 元 组 NAT 在 进 
行 转换 时 ， 仅 和 源 IP 地 址 、 源 端口 和 协议 类 型 这 3 个 元 素 有 关 ， 这 也 正 是 “三 元 组 ” 
NAT 名 字 的 由 来 。 
上 面 我 们 说 过 ， 通 过 目的 Serverv-map 表 项 就 可 以 使 Internet 上 的 P2P 客户 端 可 以 主 
动 访问 PC1， 大 家 可 能 会 有 疑问 ， 三 元 组 NAT 生成 的 Serverv-map 表 项 是 不 是 就 像 ASPF 
功能 生成 的 Serverv-map 表 项 那样 ， 报 文 命中 表 项 之 后 就 不 受 安 全 策略 的 控制 了 呢 ? 
其 实 这 里 面 还 暗藏 玄机 ， 防 火 墙 上 针对 三 元 组 NAT 还 支持 “端点 无 关 过 滤 ” 功 能 ， 
配置 命令 如 下 。 | 


[0 说 明 

命令 中 endpoint-independent 参数 的 原意 是 “不 关心 对 端 地 址 和 端口 转换 模式 ”， 表 示 
一 种 NAT 转换 方式 ， 其 实 可 以 看 成 是 三 元 组 NAT 方式 的 另 一 种 叫 法 。 华 为 防火 墙 使 
用 了 这 个 词 作为 命令 的 关键 字 , 刚 好 代表 该 条 命令 的 作用 是 在 三 元 组 NAT 方式 下 控制 
报 文 是 否 进行 安全 策略 检查 。 


[FW] firewall endpoint-independent filter enable 、 | 

开启 端点 无 关 过 滤 功 能 后 , 报 文 只 要 命中 目的 Serverv-map 表 项 就 可 以 通过 防火 墙 ， 
不 受 安全 策略 控制 。 关 闭 端点 无 关 过 滤 功 能 后 ， 报 文 命中 目的 Serverv-map 表 项 后 也 要 
受 安全 策略 的 控制 ， 那 么 就 需要 配置 相应 的 安全 策略 允许 报 文通 过 。 而 缺 省 情况 下 ， 防 
火 墙 上 是 开启 了 端点 无 关 过 滤 功 能 的 ， 所 以 我 们 在 前 面 说 Internet 上 的 P2P 客户 端 可 以 
主动 访问 内 部 网 络 中 的 PC1。 
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4.1.7 ”多 出 口 场景 下 的 源 NAT 


各 种 各 样 的 源 NAT 大 家 都 见识 过 了 , 看 似 各 种 源 地 址 转换 问题 都 能 一 网 打 尽 了 。 但 
实际 上 把 这 些 源 NAT 理论 应 用 到 现实 网 络 中 很 快 就 会 出 现 告急 : 在 多 出 口 网 络 中 ， 源 
NAT 该 何去何从 ? 

首先 ， 我 们 以 防火 墙 通过 两 个 出 口 连接 Internet 为 例 ， 探 讨 源 NAT 的 配置 方法 ， 防 
火 墙 通过 更 多 出 口 连接 Internet 的 情况 与 之 类 似 ， 大 家 可 以 举一反三 自行 搞定 。 

如 图 4-8 所 示 ， 某 企业 在 内 部 网 络 的 出 口 处 部 署 了 防火 墙 作为 出 口 网 关 ， 通 过 ISP1 
和 ISP2 两 条 链 路 连接 到 Internet， 企 业内 部 网 络 中 的 PC 有 访问 Internet 的 需求 。 


私 网 用 户 
多 





、 
em 


图 4-8 双 出 口 环境 下 的 源 NAT 组 网 示意 图 


该 场景 中 ， 防 火 墙 面临 的 主要 问题 是 在 转发 内 部 网 络 访问 Internet 的 报 文 时 如 何 进 
行 出 口 选 路 。 如 果 本 应 该 从 ISP1 的 链 路 发 出 的 报 文 却 从 ISP2 的 链 路 发 出 ， 可 能 会 导致 
报 文 “ 绕 路 ”到 达 目 的 地 ， 影 响 转 发 效率 和 用 户 体验 。 

选 路 的 方式 有 多 种 ， 如 果 根 据 报 文 的 目的 地 址 进行 选 路 ， 我 们 可 以 配置 两 条 缺 省 路 
由 《等 价 路 由 ) 或 者 配置 明细 路 由 ;如果 根据 报 文 的 源 地 址 进行 选 路 ， 我 们 还 可 以 配置 
策略 路 由 。 这 些 选 路 方式 不 是 本 节 的 重点 ， 我 们 将 在 第 10 章 “ 出 口 选 路 ”中 详细 介绍 。 

其 实 对 于 源 NAT 功能 来 说 , 无 论 使 用 了 哪 种 选 路 方式 ,结果 无 非 就 是 两 种 : 报 文 或 
者 走 ISP1 的 链 路 出 去 ， 或 者 走 ISP2 的 链 路 出 去 。 不 管 是 走 哪 条 链 路 ， 只 要 在 报 文 发 出 
去 之 前 把 报 文中 私 网 地 址 转换 成 相应 的 公 网 地 址 ， 源 NAT 的 作用 就 完成 了 。 

通常 情况 ， 我 们 会 把 防火 墙 与 ISP1 和 ISP2 相连 的 两 个 接口 分 别 加 入 到 不 同 的 安全 
区 域 ， 然 后 基于 内 部 网 络 所 在 安全 区 域 (通常 是 Trust 区 域 ) 与 这 两 个 接口 所 在 安全 区 
域 之 间 配 置 源 NAT 策略 ， 如 图 4-9 所 示 。 





图 4-9 ” 双 出 口 环境 下 的 源 NAT 组 网 配置 图 
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下 面 给 出 了 NAPT 方式 的 源 NAT 的 配置 样 例 ， 这 里 假设 ISP1 为 我 们 分 配 的 公 网 地 
址 是 1.1.1.10 一 1.1.1.12，ISP2 为 我 们 分 配 的 公 网 地 址 是 2.2.2.10 一 2.2.2.12。 
(1) 将 接口 分 别 加 入 到 不 同 的 安全 区 域 


[FW firewall zone trust 

[FW-zone-trust] add interface GigabitEthernet1/0/1 
[FW-zone-trust] quit 

[FW] firewall zone name isp1 

[IFW-zone-isp1] set priority 10 

[FW-zone-isp1] add interface GigabitEthernet1/0/2 
[FW-zone-ispl1] quit 

[FW!] firewall zone name isp2 

[FW-zone-isp2] set priority 20 

[FW-zone-isp2] add interface GigabitEthernet1/0/3 
[FW-zone-isp2] quit 


(2) 配置 两 个 NAT 地址 池 


[FW] nat address-group 1 1.1.1.10 1.1.1.12 
[FW] nat address-group 2 2.2.2.10 2.2.2.12 


(3) 基于 不 同 的 域 间 关 系 配 置 两 条 NAT 策略 


[FW] nat-policy interzone trust ispl outbound 
[FW-nat-policy-interzone-trust-ispl-outbound] policy 1 
[FW-nat-policy-interzone-trust-ispl-outbound-1] policy source 192.168.0.0 0.0.0.255 
{FW-nat-policy-interzone-trust-ispl-outbound-1] action source-nat 
[FW-nat-policy-interzone-trust-ispl-outbound-1] address-group 1 
[FW-nat-policy-interzone-trust-ispl-outbound-1] quit 
[FW-nat-policy-interzone-trust-ispl-outbound] quit 

[FW] nat-policy interzone trust isp2 outbound 
[FW-nat-policy-interzone-trust-isp2-outbound] policy 1 
[FW-nat-policy-interzone-trust-isp2-outbound-1] policy source 192.168.0.0 0.0.0.255 
[FW-nat-policy-interzone-trust-isp2-outbound-1] action source-nat 
[FW-nat-policy-interzone-trust-isp2-outbound-1] address-group 2 
[FW-nat-policy-interzone-trust-isp2-outbound-1] quit 
[FW-nat-policy-interzone-trust-isp2-outbound] quit 


(4) 基于 不 同 的 域 间 关系 配置 两 条 安全 策略 


[FW] policy interzone trust ispl outbound 
[FW-policy-interzone-trust-ispl-outbound] policy 1 
[FW-policy-interzone-trust-ispl-outbound-1] policy source 192.168.0.0 0.0.0.255 
[FW-policy-interzone-trust-ispl-outbound-1] action permit 
[FW-policy-interzone-trust-ispl-outbound-1] quit 
[FW-policy-interzone-trust-ispl-outbound] quit 

[FW] policy interzone trust isp2 outbound 
[FW-policy-interzone-trust-isp2-outbound] policy 1 
[FW-policy-interzone-trust-isp2-outbound-1] policy source 192.168.0.0 0.0.0.255 
[FW-policy-interzone-trust-isp2-outbound-1] action permit 
[FW-policy-interzone-trust-isp2-outbound-1] quit 
[FW-policy-interzone-trust-isp2-outbound] quit 


(5) 黑洞 路 由 的 配置 必 不 可 少 


[FW] ip route-static 1.1.1.10 32 NULL 0 
[FW] ip route-static 1.1.1.11 32 NULL 0 
[FW] ip route-static 1.1.1.12 32 NULL 0 
[FW] ip route-static 2.2.2.10 32 NULL 0 
[FW] ip route-static 2.2.2.11 32 NULL 0 
[FW] ip route-static 2.2.2.12 32 NULL0 
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如 果 我 们 把 防火 墙 与 ISP1 和 ISP2 相连 的 两 个 接口 加 入 到 同一 个 安全 区 域 ， 如 
Untrust， 那 么 无 论 报 文 走 ISP1 的 链 路 还 是 走 ISP2 的 链 路 ， 安 全 域 间 关 系 都 是 Trust--> 
Untrust， 基 于 相同 的 安全 域 间 关 系 配置 的 NAT 策略 就 无 法 区 分 两 条 链 路 。 为 了 便于 大 家 
理解 这 种 情况 ， 下 面 给 出 了 一 段 配置 脚本 ， 在 Trust-->Untrust 安全 域 间 配置 了 两 条 NAT 
策略 policy 1 和 policy 2。 

# 

nat-policy interzone trust untrust outbound 

Policy 1 

action source-nat 
policy source 192.168.0.0 0.0.0.255 
~ address-group 1 
policy2 
action source-nat 
policy source 192.168.0.0 0.0.0.255 
address-group 2 
由 于 policy 1 的 匹配 顺序 高 于 policy 2， 此 时 就 会 导致 内 部 网 络 访问 Internet 的 报 文 
都 匹配 了 policy 1， 都 从 ISP1 的 链 路 发 出 去 了 , 不 会 再 向 下 继续 匹配 policy 2。 所 以 我 们 
要 将 防火 墙 上 连接 不 同 ISP 的 出 接口 加 入 到 不 同 的 安全 区 域 ， 然 后 基于 不 同 的 安全 域 间 
关系 来 配置 源 NAT 策略 。 


4.1.8 总 结 


现在 我 们 已 经 将 各 种 源 NAT 技术 剖析 清楚 了 ， 也 可 以 做 一 个 深入 的 对 比 了 ， 如 
表 4-2 所 示 。 


表 4-2 华为 防火 墙 支持 的 源 NAT 技术 对 比 







NAT No-PAT 


出 接口 地 址 方式 
(Easy-IP) 













一 对 一 + 多 对 一 | 和 否 〈 预 留 地 址 会 | 是 ( 仅 NAT No- 
(针对 预 留 地 址 ) | 进行 端口 转换 ) | PAT 转换 方式 ) 
多 对 一 
多 对 多 
4.1.9 延伸 阅读 


三 元 组 NAT 还 有 一 个 学 名 : Full Cone (全 圆锥 )。 根 据 RFC3489 中 的 内 容 , Full Cone 
(全 圆锥 ) 是 4 种 NAT 端口 映射 方式 中 的 一 种 ， 其 他 3 种 分 别 为 : Restricted Cone《〈 受 限 
圆锥 )、Port Restricted Cone 〈 端 口 受 限 圆 锥 ) 和 Symmetric〈 对 称 型 )。 

为 了 加 深 读 者 对 本 节 内 容 的 理解 ， 下 面 对 比 介绍 Full Cone 〈 全 圆锥 ) 和 Symmetric 


三 元 组 NAT 
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(对 称 型 ) 模型 。 由 于 RFC3489 已 废弃 (由 RFC 5389 替代 )， 故 不 对 Restricted Cone( 受 
限 圆 锥 ) 和 Port Restricted Cone (端口 受 限 圆锥 〉 进行 介绍 。 

全 圆锥 NAT 的 模型 如 图 4-10 所 示 , 内 网 主机 进行 NAT 转换 后 的 地 址 和 端口 在 一 段 
时 间 内 保持 不 变 ， 不 会 因为 目的 地 址 不 同 而 不 同 ， 所 以 内 网 主机 可 以 使 用 转换 后 相同 的 
三 元 组 ( 源 中 地址 、 源 端口 、 协 议 类 型 ) 访问 不 同 的 外 网 主机 ， 外 网 主机 也 都 可 以 通过 
该 三 元 组 访问 内 网 主机 。 





TCP[S1:P1] -好 Ga 





a Wa 


Clientl TCP[S0:PO] 防火墙 ~ Client3 
TCP [S1:P1] “~~ 





Client4 
图 4-10 全 圆锥 NAT 模型 


对 称 型 NAT 的 模型 如 图 4-11 所 示 , 内 网 主机 会 根据 不 同 的 目的 地 址 进行 NAT 转换 ， 
NAT 转换 后 的 地 址 和 端口 一 般 是 不 相同 的 。 由 于 对 不 同 外 网 主机 呈现 不 同 的 三 元 组 ( 源 
IP 地 址 、 源 端口 、 协 议 类 型 )， 所 以 只 有 特定 的 外 网 主机 的 特定 端口 才能 进入 内 网 ， 即 
需要 限定 目标 主机 和 端口 。 对 称 型 NAT 也 称 为 五 元 组 NAT( 源 全 地 址 、 源 端口 、 目 的 
IP 地 址 、 目 的 端口 、 协 议 类 型 )，NAPT 方式 即 为 五 元 组 NAT。 





TCP [S1:P1] -有 






Hl “TCP [S1:P2] 
ee 7 i > 





只 ----=-------- 
Clientl ICE[SCEO 防火 二 、 Client3 
TCP [S1:P3] ~ a 
Client4 

图 4-11 对 称 型 NAT 模型 


4.2 NAT Server 


学 校 或 公司 经 常会 对 公 网 用 户 提供 一 些 可 访问 的 服务 。 但 是 网 络 部 署 时 ， 这 些 服务 
器 的 地 址 一 般 都 会 被 配置 成 私 网 地 址 ， 而 公 网 用 户 是 无 法 直接 访问 私 网 地 址 的 。 那 么 ， 
防火 墙 作为 学 校 或 企业 的 出 口 网 关 时 ， 是 如 何 应 对 这 个 问题 的 呢 ? 

看 过 源 NAT 的 读者 一 定 会 联想 到 ， 防 火 墙 是 不 是 也 可 以 将 服务 器 的 私 网 地 址 通过 
NAT 转换 成 公 网 地 址 来 提供 对 外 的 服务 呢 ? 
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Bingo! 大 方向 已 经 对 了 。 不 过 ， 源 NAT 是 对 私 网 用 户 访问 公 网 的 报 文 的 源 地 址 进 
行 转换 ,而 服务 器 对 公 网 提供 服务 时 ， 是 公 网 用 户 向 私 网 发 起 访问 , 方向 正好 反 过 来 了 。 
于 是 ，NAT 转换 的 目标 也 由 报 文 的 源 地 址 变 成 了 目的 地 址 。 针 对 服务 器 的 地 址 转换 ， 我 
们 赋予 了 它 一 个 形象 的 名 字 一 一 NAT Server (服务 器 映射 )。 


4.2.1 NAT Server 基本 原理 


下 面 我 们 结合 图 4-12 所 示 的 组 网 环境 来 看 下 防火 墙 上 的 NAT Server 是 如 何 配置 和 
实现 的 。NAT Server 也 需要 用 到 公 网 IP 地 址 ， 与 源 NAT 不 同 的 是 ，NAT Server 的 公 网 
IP 地 址 不 需要 放 到 NAT 地 址 池 这 个 容器 中 ， 直 接 使 用 即 可 ， 这 里 我 们 假设 公 网 地 址 是 
1.1.1.1。 


[0 说 明 

建议 不 要 把 防火 墙 公 网 接口 的 卫 地 址 配置 为 NAT Server 的 公 网 IP 地址， 如 果 确 实 需 
要 这 样 操作 ， 那 么 请 配置 指定 协议 和 端口 的 NAT Server, 避免 NAT Server 与 访问 防火 
墙 的 Telnet、Web 等 管理 需求 相 冲 突 。 





图 4-12 配置 NAT Server 组 网 图 


NAT Server 的 配置 过 程 如 下 。 

(1) 配置 NAT Server 

在 防火 墙 上 配置 如 下 命令 ， 就 能 将 服务 器 的 私 网 地 址 10.1.1.2 映射 成 公 网 地 址 1.1.1.1。 

[FEW] nat server global 1.1.1.1 inside 10.1.1.2 

如 果 一 台 服 务 器 同时 存在 多 种 协议 和 端口 的 服务 项 ， 按 照 上 述 配 置 会 将 服务 器 上 所 
有 服务 项 都 发 布 到 公 网 ， 这 无 疑 会 带 来 很 大 的 安全 风险 。 华 为 防火 墙 支持 配置 指定 协议 
的 NAT Server， 只 将 服务 器 上 特定 的 服务 项 对 公 网 发 布 ， 从 而 避免 服务 项 全 发 布 带 来 的 
风险 。 例 如 ， 我 们 可 以 按 如 下 方式 配置 ， 将 服务 器 上 80 端口 的 服务 项 映射 为 9980 端口 
供 公 网 用 户 访问 。 


[0 说 明 
这 里 我 们 将 80 端口 转换 为 9980 端口 而 不 是 直接 转换 成 80 端口 ,是 因为 一 些 地 区 的 运 
营 商 会 阻 断 新 增 的 80、8000、8080 端口 的 业务 ， 从 而 导致 服务 器 无 法 访问 。 


[FW] nat server protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80 
NAT Server 配置 完成 之 后 ,也 会 生成 Server-map 表 。 不 过 与 源 NAT 生成 的 Server-map 
表 不 同 的 是 ，NAT Server 的 Server-map 表 是 静态 的 ， 不 需要 报 文 来 触发 ， 配 置 了 NAT 
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Server 后 就 会 自动 生成 ， 只 有 当 NAT Server 配置 被 删除 时 ， 对 应 的 Server-map 表 项 才 会 
被 删除 。NAT Server 的 Server-map 表 如 下 。 

[FW] display firewall server-map 

server-map item(s) 


Nat Server, any -> 1.1.1.1:9980110.1.1.2:80], Zone: 一 
Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: --- 
VPN: public -> public 


Nat Server Reverse, 10.1.1.2[1.1.1.1] -> any, Zone: 一 
Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: 一 
VPN: public -> public 
NAT Server 的 Server-map 表 和 和 我们 前 面 介绍 过 的 三 元 组 NAT 的 Server-map 表 相 同 ， 
也 包含 了 两 条 表 项 。 
。 下 向 Server-map 表 项 
“Nat Server, any -> 1.1.1.1:9980[10.1.1.2:80]” 为 正 向 Server-map 表 项 ， 记 录 着 服 
务 器 私 网 地 址 端口 和 公 网 地 址 端口 的 映射 关系 。 吕 内 为 服务 器 私 网 地 址 和 端口 、 
口外 为 服务 器 公 网 地 址 和 端口 。 我 们 将 表 项 翻译 成 文字 就 是 : 任意 客户 端 (any) 
向 〈《->) 1.1.1.1:9980 发 起 访问 时 ， 报 文 的 目的 地 址 和 端口 都 会 被 转换 成 
10.1.1.2:80。 其 作用 是 在 公 网 用 户 访问 服务 器 时 对 报 文 的 目的 地 址 做 转换 。 
。 反 向 Server-map 表 项 
“Nat Server Reverse, 10.1.1.2[1.1.1.1] -> any” 为 反 向 Server-map 表 项 ， 其 作用 为 
当 私 网 服务 器 主动 访问 公 网 时 , 可 以 直接 使 用 这 个 表 项 将 报 文 的 源 地 址 由 私 网 地 
址 转换 为 公 网 地 址 , 而 不 用 再 单独 为 服务 器 配置 源 NAT 策略 ,这 就 是 防火 墙 NAT 
Server 做 得 非常 贴心 的 地 方 了 , 一 条 命令 同时 打通 了 私 网 服务 器 和 公 网 之 间 出 入 
两 个 方向 的 地 址 转换 通道 。 
这 里 强 叔 反复 提 到 “转换 ”二 字 。 没 错 ， 不 论 是 正 向 还 是 反 向 Server-map 表 项 ， 都 
仅 能 实现 地 址 转换 而 已 ， 并 不 能 像 ASPF 的 Server-map 表 项 一 样 打开 一 个 可 以 绕 过 安全 
策略 检查 的 通道 。 因 此 ， 无 论 是 公 网 用 户 要 访问 私 网 服务 器 还 是 私 网 服务 器 要 主动 访问 
公 网 时 ， 都 需要 配置 相应 的 安全 策略 允许 报 文 通过 。 
(2) 配置 安全 策略 
这 里 有 一 个 经 典 问题 ， 强 叔 回 答 了 无 数 遍 ,但 仍然 有 人 不 断 在 问 : NAT Server 场景 
下 ， 为 了 让 公 网 用 户 能 够 访问 私 网 服务 器 ， 配 置 安全 策略 时 策略 的 目的 地 址 是 服务 器 的 
私 网 地 址 还 是 公 网 地 址 ? 先 不 忙 告诉 大 家 答案 ， 我 们 先 回顾 一 下 公 网 用 户 访问 私 网 服务 
器 时 防火 墙 的 处 理 流 程 。 
当 公 网 用 户 通过 1.1.1.1:9980 访问 私 网 服务 器 时 ， 防 火 墙 收 到 报 文 的 首 包 后 ， 首 先 
是 查找 并 匹配 到 Server-map 表 项 ， 将 报 文 的 目的 地 址 和 端口 转换 为 10.1.1.2:80。 然 后 根 
据 目 的 地 址 查找 路 由 ， 找 到 出 接口 。 根 据 入 接口 和 出 接口 所 处 的 安全 区 域 ， 判 断 出 报 文 
在 哪 两 个 安全 区 域 间 流 动 ， 进 行 域 间 安 全 策略 检查 。 因 此 ， 配 置 安全 策略 时 需要 注意 ， 
策略 的 目的 地 址 应 配置 为 服务 器 私 网 地 址 ， 而 不 是 服务 器 对 外 映射 的 公 网 地 址 。 所 以 本 
例 的 安全 策略 配置 应 为 : 
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[FW] policy interzone dmz untrust inbound 

[FW-policy-interzone-dmz-untrust-inbound] policy 1 

[FW-policy-interzone-dmz-untrust-inbound-1] policy destination 10.1.1.2 0 

[FW-policy-interzone-dmz-untrust-inbound-1] policy service service-set http 

[FW-policy-interzone-dmz-untrust-inbound-1] action permit 

[FW-policy-interzone-dmz-untrust-inbound-1] quit 

[FW-policy-interzone- dmz-untrust-inbound] quit 

报 文通 过 安全 策略 检查 后 ， 防 火 墙 会 建立 如 下 的 会 话 表 ， 并 将 报 文 转发 到 私 网 服务 器 。 

[FW] display firewall session table 

Current Total Sessions : 1 
http VPN:public --> public 1.1.1.2:2049-->1.1.1.1:9980[10.1.1.2:80] 

之 后 ， 服 务 器 对 公 网 用 户 的 请 求 做 出 响应 。 响 应 报 文 到 达 防 火 墙 后 匹配 到 上 面 的 会 
话 表 ， 防 火 墙 将 报 文 的 源 地 址 和 端口 转换 为 1.1.1.1:9980， 而 后 发 送 至 公 网 。 公 网 用 户 和 
私 网 服务 器 交互 的 后 续 报 文 ， 防 火 墙 都 会 直接 根据 会 话 表 对 其 进行 地 址 和 端口 转换 ， 而 
不 会 再 去 查找 Server-map 表 项 了 。 

在 防火 墙 的 前 后 抓 包 ， 能 很 清楚 地 看 到 NAT Server 的 效果 。 

。 转换 公 网 用 户 发 往 私 网 服务 器 的 报 文 的 目的 地 址 和 端口 。 


站 bytes on bir 
加 ; Ethernet 2 Src: O00: 003 0023 
Interner Protrocol, src: 1.1.1 





。 转换 私 网 服务 器 响应 公 网 用 户 的 报 文 的 源 地 址 和 端口 。 





3 Incerner Protoco], i DT; ED 


(3) 配置 黑洞 路 由 
为 了 避免 路 由 环 路 ，NAT Server 也 需要 配置 黑洞 路 由 。 


[FEW] ip route-static 1.1.1.1 32 NULL 0 


4.2.2 ”多 出 口 场景 下 的 NAT Server 


与 源 NAT 相同 , NAT Server 也 要 面临 多 出 口 的 问题 , 接 下 来 我 们 还 是 以 防火 墙 通过 
两 个 出 口 连 接 Internet 为 例 ， 介 绍 NAT Server 的 配置 方法 。 

1. 配置 NAT Server 

如 图 4-13 所 示 , 某 企业 在 内 部 网 络 的 出 口 处 部 署 了 防火 墙 作为 出 口 网 关 , 通过 ISP1 
和 ISP2 两 条 链 路 连接 到 Internet， 企 业 需 要 将 私 网 服务 器 提供 给 Internet 上 的 用 户 访问 。 
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Web Server 





图 4-13 双 出 口 环境 下 的 NAT Server 组 网 示意 图 


防火 墙 作 为 出 口 网 关 ， 双 出 口 、 双 ISP 接 入 公 网 时 ，NAT Server 的 配置 通常 需要 一 
分 为 二 ， 让 一 个 私 网 服务 器 向 两 个 ISP 发 布 两 个 不 同 的 公 网 地 址 供 公 网 用 户 访问 。 一 分 
为 二 的 方法 有 两 种 。 
方法 一 : 将 接 入 不 同 ISP 的 公 网 接口 规划 在 不 同 的 安全 区 域 中 ， 配 置 NAT Server 时 ， 
带 上 zone 参数 ， 使 同一 个 服务 器 向 不 同安 全 区 域 发 布 不 同 的 公 网 地 址 ， 如 图 4-14 所 示 。 





172.16.0.1/24 Bas 


~ 





图 4-14 ” 双 出 口 环境 下 的 NAT Server 组 网 图 (两 个 出 口 属于 不 同安 全 区 域 ) 


下 面 给 出 了 该 场景 的 配置 过 程 ， 这 里 假设 私 网 服务 器 对 ISP1 发 布 的 公 网 地 址 是 
1.1.1.20， 对 ISP2 发 布 的 公 网 地 址 是 2.2.2.20。 
(1) 将 接口 分 别 加 入 到 不 同 的 安全 区 域 


[EW] firewall zone dmz 

[FW-zone-dmz] add interface GigabitEthernet1/0/4 
[FW-zone-dmz] quit 

[FW] firewall zone name isp1 

[FW-zone-isp1] set priority 10 

[FW-zone-isp1] add interface GigabitEthernet1/0/2 
[FW-zone-ispl] quit 

[FW] firewall zone name isp2 

[FW-zone-isp2] set priority 20 

[FW-zone-isp2] add interface GigabitEthernet1/0/3 
[FW-zone-isp2] quit 


(2) 配置 带 有 zone 参数 的 NAT Server 


[FW] nat server zone ispl protocol tcp global 1.1.1.20 9980 inside 172.16.0.2 80 
[FW] nat server zone isp2 protocol tcp global 2.2.2.20 9980 inside 172.16.0.2 80 


(3) 基于 不 同 的 域 间 关 系 配 置 两 条 安全 策略 
[FW] policy interzone isp1 dmz inbound 
[FW-policy-interzone-dmz-ispl-inbound] policy 1 
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[FW-policy-interzone-dmz-ispl-inbound-1] policy destination 172.16.0.20 
[FW-policy-interzone-dmz-isp1-inbound-1] policy service service-set http 
[FW-policy-interzone-dmz-ispl-inbound-1] action permit 
[FW-policy-interzone-dmz-ispl-inbound-1] quit 
[FW-policy-interzone-dmz-ispl-inbound] quit 

[FW] policy interzone isp2 dmz inbound 
[FW-policy-interzone-dmz-isp2-inbound] policy 1 
[FW-policy-interzone-dmz-isp2-inbound-1] policy destination 172.16.0.2 0 
[FW-policy-interzone-dmz-isp2-inbound-1] policy service service-set Br 
[FW-policy-interzone-dmz-isp2-inbound-1] action permit 
[FW-policy-interzone-dmz-isp2-inbound-1] quit 
[FW-policy-interzone-dmz-isp2-inbound] quit 


(4) 黑洞 路 由 的 配置 必 不 可 少 


[FW] ip route-static 1.1.1.20 32 NULL 0 
[FW] ip route-static 2.2.2.20 32 NULL 0 


配置 完成 后 ， 防 火 墙 上 生成 了 如 下 的 Server-map 表 项 。 


[FW] display firewall server-map 
server-map item(s) 


Nat Server, any -> 1.1.1.20:9980[172.16.0.2:80], Zone: isp1 
Protocol: tcp(Appro: unknown), Left-Time: 一 :--:--， Addr-Pool: --- 
VPN: public -> public 


Nat Server Reverse, 172.16.0.2[1.1.1.20] -> any, Zone: isp1 
Protocol: any(Appro: ---), Left-Time: -~:--:--, Addr-Pool: --- 
VPN: public -> public 


Nat Server, any -> 2.2.2.20:9980[172.16.0.2:80], Zone: isp2 
Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: --- 
VPN: public -> public 


Nat Server Reverse, 172.16.0.2[2.2.2.20] -> any, Zone: isp2 
Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: --- 
VPN: public -> publi 


从 Server-map 表 项 中 可 以 看 到 , 正 向 和 反 向 的 Server-map 表 项 都 已 经 生成 ，Internet 
上 的 公 网 用 户 通过 正 向 Server-map 表 项 就 可 以 访问 私 网 服务 器 ; 私 网 服务 器 通过 反 向 
Server-map 表 项 也 可 以 主动 访问 Internet。 

所 以 我 们 推荐 在 网 络 规划 的 时 候 ， 就 把 防火 墙 与 ISP1 和 ISP2 相连 的 两 个 接口 分 别 
加 入 到 不 同 的 安全 区 域 ， 然 后 配置 带 有 zone 参数 的 NAT Server 功能 。 如 果 这 两 个 接口 
已 经 加 入 到 同一 个 安全 区 域 如 Untrust 并 且 无 法 调整 ， 那 么 我 们 还 有 另 一 种 配置 方法 。 

方法 二 : 配置 NAT Server 时 带 上 no-reverse 参数 ， 使 同一 个 服务 器 向 外 发 布 两 个 
不 同 的 公 网 地 址 ， 如 图 4-1S 所 示 。 

该 场景 中 为 了 保证 可 以 正常 配置 NAT Server 功能 ， 我 们 必须 使 用 no-reverse 参数 ， 
下 面 给 出 了 NAT Server 的 配置 ， 其 他 配置 与 第 一 种 方法 相同 ， 不 再 装 述 。 

配置 带 有 no-reverse 参数 的 NAT Server。 


[FW!] nat server protocol tcp global 1.1.1.20 9980 inside 172.16.0.2 80 no-reverse 
[FW] nat server protocol tcp global 2.2.2.20 9980 inside 172.16.0.2 80 no-reverse 


配置 完成 后 ， 防 火 墙 上 生成 了 如 下 的 Server-map 表 项 。 
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图 4-15 双 出 口 环境 下 的 NAT Server 组 网 图 〈 两 个 出 口 属 于 同一 个 安全 区 域 ) 


[FW] display firewall server-map 
server-map item(s) 


Nat Server, any -> 1.1.1.20:9980[172.16.0.2:80], Zone: --- 
Protocol: tep(Appro: unknown), Left-Time: --:--:--, Addr-Pool: --- 
VPN: public -> public 


~ Nat Server, any -> 2.2.2.20:9980[172.16.0.2:80], Zone: --- 
Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: --- 
-VPN: public -> public 
从 Server-map 表 项 中 可 以 看 到 ， 只 生成 了 正 向 的 Server-map 表 项 ，Internet 上 的 公 
网 用 户 通过 正 向 Server-map 表 项 就 可 以 访问 私 网 服务 器 ; 但 是 如 果 私 网 服务 器 想 要 主动 
访问 Internet， 因 为 没有 了 反 向 Server-map 表 ， 所 以 就 必须 在 DMZ--->Untrust 的 域 间 
配置 源 NAT 策略 。 
看 到 这 里 大 家 就 要 问 了 ， 不 带 no-reverse 参数 直接 配置 上 面 两 条 nat server 命令 会 
怎样 ? 答案 是 不 带 no-reverse 参数 时 这 两 条 命令 压根 就 不 能 同时 下 发 。 
[FW] nat server protocol tcp global 1.1.1.20 9980 inside 172.16.0.2 80 
[FW] nat server protocol tcp global 2.2.2.20 9980 inside 172.16.0.2 80 
Error: This inside address has been used! 
我 们 尝试 着 逆向 思考 下， 假如 这 两 条 命令 能 同时 下 发 ， 会 发 生 什么 ? 将 上 面 的 两 条 
命令 分 别 在 两 台 防火 墙 上 配置 ， 然 后 查看 各 自生 成 的 Server-map 表 项 。 
[FW1] nat server protocol tep global 1.1.1.20 9980 inside 172.16.0.2 80 
[FW1] display firewall server-map 
‘server-map item(s) | 
A od po 


Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: --- 
VPN: public -> public 


Nat Server Reverse, 172.16.0.211.1.1.201 -> any, Zone: 一 
Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: -一 
VPN: public -> public - 


[FW2] nat seryer 1 global 2.2.2.20 inside 172.16.0.2 
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[FW2] ply Got re 9 
server-map Wom) 


vs Server, any -> 2.2. 2. 20:9980[172.16.0. 2:80], Zone: 一 
Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: --- 
VPN: pe > 


re 
Protocol: any(Appro: —-), Left- Tne ~ Addr-Pool: 一 
VEN puble = public ， 

很 容易 看 出 来 ， -. 基 响 关 坝 下 的 必 内 gerrenanag 表 基 是 将 报 必 的 溉 好 赴 四 721502 
转换 为 1.1.1.20， 另 一 台 防 火 墙 上 的 反 向 Server-map 表 项 是 将 报 文 的 源 地 址 由 172.16.0.2 
转换 为 2.2.2.20。 试 想 下 ， 如 果 这 两 个 反 向 Server-map 表 项 同时 出 现在 一 台 防 火 墙 上 会 
发 生 什么 ? 即 防火 墙 既 可 以 将 报 文 的 源 地 址 由 172.16.0.2 转换 为 1.1.1.20, 又 可 以 转换 为 
2.2.2.20。 于 是 乎 ， 防 火 墙 凌乱 了 一 一 这 就 是 两 条 nat server 命令 不 带 no-reverse 参数 同 
时 下 发 会 带 来 的 问题 。 如 果 配 置 时 带 上 no-reverse 参数 ， 就 不 会 生成 反 向 Server-map 表 
项 。 没 有 了 反 向 Server-map 表 项 ， 上 述 的 问题 也 就 不 复 存在 了 。 

2. 配置 源 进 源 出 

上 面 介绍 了 NAT Server 一 分 为 二 的 配置 方法 ， 我 们 可 以 根据 防火 墙 与 ISP1 和 ISP2 
相连 的 两 个 接口 是 否 加 入 到 不 同安 全 区 域 ， 酌 情 选 择 带 有 zone 参数 或 带 有 no-reverse 
参数 来 配置 NAT Server。 除 此 之 外 ， 双 出 口 的 环境 中 ， 还 需要 考虑 两 个 ISP 中 的 公 网 用 
户 使 用 哪个 公 网 地 址 访问 私 网 服务 器 的 问题 。 

例如 ，ISP1 网 络 中 的 公 网 用 户 如 果 通 过 防火 墙 发 布 给 ISP2 的 公 网 地 址 来 访问 私 网 
服务 器 ， 这 个 访问 本 身 就 “ 绕 路 ”了 ， 而 且 两 个 ISP 之 间 由 于 利益 冲突 可 能 会 存在 无 法 
互通 的 情况 ， 就 会 导致 访问 过 程 很 慢 或 者 干脆 就 不 能 访问 。 

此 时 要 求 我 们 向 两 个 ISP 中 的 公 网 用 户 告知 公 网 地 址 时 ， 要 避免 两 个 ISP 中 的 公 网 
用 户 使 用 非 本 ISP 的 公 网 地 址 访问 私 网 服务 器 。 即 对 于 ISP1 的 用 户 ， 就 让 其 使 用 防火 墙 
发 布 给 ISP1 的 公 网 地 址 来 访问 私 网 服务 器 ; 对 于 ISP2 的 用 户 ， 就 让 其 使 用 防火 墙 发 布 
给 ISP2 的 公 网 地 址 来 访问 。 

另外 , 防火 墙 在 处 理 私 网 服务 器 回应 报 文 时 , 可 能 也 会 由 于 出 口 选 路 有 误 带 来 问题 。 
如 图 4-16 所 示 ，ISP1 中 的 公 网 用 户 通过 防火 墙 发 布 给 ISP1 的 公 网 地 址 访问 私 网 服务 器 ， 
报 文 从 防火 墙 的 GE1/0/2 接口 进入 。 私 网 服务 器 的 回应 报 文 到 达 防 火 墙 后 ， 虽 然 匹 配 了 
会 话 表 并 进行 了 地 址 转换 ， 但 还 是 要 根据 目的 地 址 查找 路 由 来 确定 出 接口 。 如 果 防 火 墙 
上 没有 配置 到 该 公 网 用 户 的 明细 路 由 ， 只 配置 了 缺 省 路 由 ， 就 可 能 会 导致 回应 报 文 从 连 
接 ISP2 的 链 路 即 GE1/0/3 接口 发 出 。 该 报 文 在 ISP2 的 网 络 中 传输 时 凶 多 吉 少 ， 很 有 可 
能 就 回 不 到 ISP1 中 ， 访 问 就 会 中 断 。 

为 了 解决 这 个 问题 ， 我 们 可 以 在 防火 墙 上 配置 明细 路 由 ， 让 防火 墙 严 格 按照 ISP1 
和 ISP2 各 自 的 公 网 地 址 来 选 路 。 但 ISP1 和 ISP2 的 公 网 地 址 数量 很 大 ,配置 起 来 工作 量 
大 ， 不 太 现实 。 为 此 ， 防 火 墙 提 供 了 源 进 源 回 〈 或 者 叫 源 进 源 出 ) 功能 ， 即 请 求 报 文 从 
某 条 路 径 进 入 ， 响 应 报 文 依然 沿 着 同样 的 路 径 返 回 ， 而 不 用 查找 路 由 表 来 确定 出 接口 ， 
保证 了 报 文 从 同一 个 接口 进出 。 
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图 4-16 报 文 没有 从 同一 接口 进出 导致 NAT Server 业务 不 通 


源 进 源 回 功能 在 接口 上 配置 ， 防 火 墙 连接 ISP1 和 ISP2 的 两 个 接口 上 都 需要 配置 。 
下 面 给 出 了 在 接口 GE1/0/2 上 开启 源 进 源 回 功能 的 配置 命令 , 这 里 假设 ISP1 提供 的 下 一 
中 地址 是 1.1.1.254， 该 命令 适用 于 1 USG9500 系列 防火 墙 。 


[FEW] interface GigabitEthernet 1/0/2. 
[FW-GigabitEthernet1/0/2] redirect-reverse nexthop 1.1.1.254 


如 果 是 USG2000/5000 系列 防火 墙 ， 相 应 的 配置 命令 是 : 


[FW) interface Gigabiththernet 1/0/2 
~ [FW-GigabitEthemet1/0/2] reverse-route nexthop 1.1.1.254 


如 果 是 USG6000 系列 防火 墙 ， 相 应 的 配置 命令 是 : 
[PW] interface GigabitEthernet 1/0/2- 


[FW.Gigabitethometl/0/2] gateway 1.1.1.254 
~ [FW-GigabitEthemet1/0/2] reverse-route enable 


4.3 ”双向 NAT 


经 过 前 面 几 节 的 介绍 ， 相 信 大 家 已 经 对 源 NAT 和 NAT Server 有 了 相当 了 解 。NAT 
功能 就 像 一 个 武林 高 手 ， 可 内 可 外 ， 游 轧 有 余 ， 那 么 这 “一 内 一 外 ”能 否 配 合 使 用 呢 ? 
答案 当然 是 肯定 的 ! 

如 果 需 要 同时 改变 报 文 的 源 地 址 和 目的 地 址 ， 就 可 以 配置 “ 源 NAT+NAT Server”， 
我 们 称 此 类 NAT 技术 为 双向 NAT。 这 里 需要 注意 : 双向 NAT 不 是 一 个 单独 的 功能 ， 而 
是 源 NAT 和 NAT Server 的 组 合 。 这 里 “组 合 ” 的 含义 是 针对 同一 条 流 ( 例 如 公 网 用 户 
访问 私 网 服务 器 的 报 文 ), 在 其 经 过 防火 墙 时 同时 转换 报 文 的 源 地 址 和 目的 地 址 。 大 家 和 干 
万 不 能 理解 为 “防火 墙 上 同时 配置 了 源 NAT 和 NAT Server 就 是 双向 NAT”, 这 是 不 对 的 ， 
因为 源 NAT 和 NAT Server 可 能 是 为 不 同 流 配 置 的 。 

之 前 介绍 源 NAT 功能 时 , 为 了 更 利于 大 家 理解 相关 概念 和 原理 , 我 们 都 是 按照 私 网 
用 户 访 问 Internet 的 思路 进行 组 网 设计 和 验证 的 。 实 际 上 ， 源 NAT 还 可 以 根据 报 文 在 防 
火 墙 上 的 流动 方向 进行 分 类 ， 包 括 域 间 NAT 和 域内 NAT。 

。 域 间 NAT 

报 文 在 两 个 不 同 的 安全 区 域 之 间 流 动 时 对 报 文 进行 NAT 转换 ， 根 据 流 动 方向 的 
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不 同 ， 又 可 以 分 为 以 下 两 类 。 
— NAT Inbound 
报 文 由 低 安全 级 别 的 安全 区 域 向 高 安全 级 别 的 安全 区 域 方向 流动 时 , 对 报 文 
进行 的 转换 。 一 般 来 说 ， 这 种 情况 是 公 网 用 户 访问 内 部 网 络 ， 不 太 常 见 
— NAT Outbound 
报 文 由 高 安全 级 别 的 安全 区 域 向 低 安全 级 别 的 安全 区 域 方 向 流动 时 , 对 报 文 
进行 的 转换 。 前 面 介绍 的 私 网 用 户 访问 Intemet 的 场景 使 用 的 都 是 NAT 
Outbound。 
。 域内 NAT 
报 文 在 同一 个 安全 区 域 之 内 流动 时 对 报 文 进行 NAT 转换 ， 一 般 来 说 ， 域 内 NAT 
都 会 和 NAT Server 配合 使 用 ， 单 独 配 置 域内 NAT 的 情况 较 少 见 
当 域 间 NAT 或 域内 NAT 和 NAT Server 一 起 配合 使 用 时 , 就 实现 了 双向 NAT。 当然 ， 
上 述 内 容 的 一 个 大 前 提 就 是 : 合理 设置 安全 区 域 的 安全 级 别 并 规划 网 络 一 一 内 网 网 络 属 
于 Trust 区 域 (高 安全 级 别 )， 私 网 服务 器 属于 DMZ 区 域 (中 安全 级 别 )，Internet 属于 
Untrust 区 域 〈 低 安全 级 别 )。 
双向 NAT 从 技术 和 实现 原理 上 讲 并 无 特别 之 处 , 但 是 它 的 应 用 场景 很 有 特色 。 究竟 
什么 时 候 需 要 配置 双向 NAT， 配 置 后 有 什么 好 处 ， 不 配置 双向 NAT 行 不 行 ? 这 都 是 实 
际 规 划 和 部 署 网 络 时 需要 思考 的 问题 。 


4.3.1 NAT Inbound+NAT Server 


4-17 示意 了 一 个 最 常见 的 场景 : 公 网 用 户 访问 私 网 服务 器 ， 这 个 场景 也 是 NAT 
Server 的 典型 场景 ， 但 是 下 面 要 讲 的 是 如 何在 这 个 场景 中 应 用 双向 NAT， 以 及 这 么 做 的 
好 处 。 





图 4-17 NAT Inbound+NAT Server 组 网 图 


下 面 是 NAT Server 和 源 NAT 的 配置 ， 安 全 策略 和 黑洞 路 由 的 配置 与 前 面 介绍 过 的 
内 容 没 有 区 别 ， 这 里 就 不 给 出 具体 配置 了 。 先 来 看 NAT Server 的 配置。 
[FW] nat server protocol tep global 1.1.1.1 9980inside 10.1.1.280 
相信 大 家 对 NAT Server 的 配置 没有 疑问 。 配 置 完 成 后 ， 防火 墙 上 生成 的 Server-map 
表 如 下 。 


， Nat Server, any -> 1.1.1.1:9980[10.1.1.2:80], Zone: -- 。 
”Protocol': tcp(Appro: TWO Left-Time: 一 :--:--,Addr-Pool: -一 
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VPN: public -> public 
~ Nat Server Reverse, 10.1.1.2[1.1.1.1] -> any, Zone: --- 
Protocol: any(Appro: --), Left-Time: 一 :一 :--, Addr-Pool: -一 


VPN: public -> public 

下 面 来 看 一 下 源 NAT 的 配置 。 

[FW] nat address-group 1 10.1.1.100 10.1.1.100 

[FW] nat-policy interzone untrust dmz inbound 

[FW-nat-policy-interzone-dmz-untrust-inbound] policy 1 

[FW-nat-policy-interzone-dmz-untrust-inbound-1] policy destination 10.1.1.2 0 ”// 由 于 先进 行 NAT Server 转换 ， 再 进行 
源 NAT 转换 ， 所 以 此 处 的 目的 地 址 是 NAT Server 转换 后 的 地 址 ， 即 服务 器 的 私 网 地 址 

{FW-nat-policy-interzone-dmz-untrust-inbound-1] action source-nat 

[FW-nat-policy-interzone-dmz-untrust-inbound-1] address-group 1 

[FW-nat-policy-interzone-dmz-untrust-inbound-1] quit 

[FW-nat-policy-interzone-dmz-untrust-inbound] quit 

上 面 的 源 NAT 的 配置 和 前 面 介绍 过 的 不 太一 样 ， 前 面 介绍 过 的 NAT 地 址 池 中 配置 
的 都 是 公 网 地 址 ， 而 这 里 配置 的 却 是 私 网 地 址 。 另 外 ，NAT 策略 的 方向 是 Inbound， 表 
示 报 文 由 低 安 全 级 别 的 安全 区 域 向 高 安全 级 别 的 安全 区 域 方向 流动 时 进行 转换 ， 属 于 
NAT Inbound。 

配置 完成 后 ， 公 网 用 户 访 问 私 网 服务 器 ， 在 防火 墙 上 查看 会 话 表 ， 可 以 清楚 地 看 到 
报 文 的 源 地 址 和 目的 地 址 都 进行 了 转换 。 
[FW] display firewall session table 

Current Total Sessions : 1 
a VPN:public -> we 

- 0 

我 们 通过 图 4-18 i 公 网 用 户 访问 私 网 服务 器 的 报 文 到 达 
防火 墙 时 ， 目 的 地 址 〈 私 网 服务 器 的 公 网 地 址 ) 经 过 NAT Server 转换 为 私 网 地 址 ， 然 后 
源 地 址 经 过 NAT Inbound 也 转换 为 私 网 地 址 ， 且 和 私 网 服务 器 属于 同一 网 段 。 这 样 报 文 
的 源 地 址 和 目的 地 址 就 同时 进行 了 转换 ， 即 完成 了 双向 NAT。 当 私 网 服务 器 的 回应 报 文 
经 过 防火 墙 时 ， 再 次 进行 双向 NAT 转换 ， 报 文 的 源 地 址 和 目的 地 址 均 转 换 为 公 网 地 址 。 
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图 4-18 NAT Inbound+NAT Server 地 址 转换 过 程 


看 到 这 里 大 家 肯定 会 有 疑问 ， 如 果 只 配置 NAT Server 不 配置 NAT Inbound， 也 不 会 
影响 公 网 用 户 访问 私 网 服务 器 呀 ? 答案 是 肯定 的 ， 但 是 配置 了 NAT Inbound 自 有 它 的 好 
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处 ， 秘 密 就 在 于 私 网 服务 器 对 回应 报 文 的 处 理 方式 上 。 

我 们 把 NAT 地 址 池 中 的 地 址 配置 成 和 私 网 服务 器 在 同一 网 段 , 当 私 网 服务 器 回应 公 
网 用 户 的 访问 请 求 时 ， 发 现 自己 的 地 址 和 目的 地 址 在 同一 网 段 ， 此 时 私 网 服务 器 就 不 会 
去 查找 路 由 ， 而 是 发 送 ARP 广播 报 文 询 问 目的 地 址 对 应 的 MAC 地址 。 防 火 墙 会 及 时 挺 
身 而 出 ， 将 连接 私 网 服务 器 的 接口 的 MAC 地 址 发 给 私 网 服务 器 ， 告 诉 私 网 服务 器 :“ 把 
回应 报 文 发 送 给 我 吧 ” 所 以 私 网 服务 器 将 回应 报 文 发 送 至 防火 墙 , 防火 墙 再 对 其 进行 后 
续 处 理 。 

既然 私 网 服务 器 上 省 去 了 查找 路 由 的 环节 ， 那 就 不 用 设置 网 关 了 ，,- 这 就 是 配置 NAT 
Inbound 的 好 处 。 也 许 有 人 会 说 “在 服务 器 上 配置 网 关 还 是 挺 方便 的 ， 不 用 配置 NAT 
Inbound 这 么 麻烦 吧 ” 如 果 只 有 一 台 服 务 器 时 ， 的 确 感受 不 到 有 什么 便捷 ， 如 果 有 几 十 
台 甚 至 上 百 台 服务 器 需要 配置 或 修改 网 关 时 ， 我 们 就 会 发 现 配置 NAT Inbound 是 多 么 方 
便 了 。 当 前 ,在 这 个 场景 中 应 用 双向 NAT 时 还 有 一 个 前 提 条 件 ， 那 就 是 私 网 服务 器 与 防 
火 墙 必须 在 同一 个 网 段 ， 否 则 就 不 能 应 用 这 个 功能 了 。 

如 果 我 们 在 这 个 组 网 环境 的 基础 上 做 一 个 变化 ， 增 加 Trust 安全 区 域 ， 该 区 域内 的 
私 网 用 户 也 要 通过 公 网 地 址 访问 DMZ 安全 区 域 中 的 私 网 服务 器 ， 如 何 配 置 双 向 NAT 
呢 ? NAT Server 的 配置 没有 变化 ， 源 NAT 的 配置 稍 有 变化 : 由 于 Trust 安全 区 域 的 安全 
级 别 高 于 DMZ 安全 区 域 ， 所 以 报 文 从 Trust 安全 区 域 向 DMZ 安全 区 域 流动 时 ， 要 配置 
NAT Outbound， 即 双向 NAT 变化 为 NAT Server+NAT Outbound。 


4.3.2 域内 NAT+NAT Server 


域内 NAT+NAT Server 的 场景 多 见于 小 型 网 络 ， 如 图 4-19 所 示 ， 管 理 员 在 规划 网 络 
时 “偷懒 ” 将 私 网 用 户 和 私 网 服务 器 规划 到 同一 个 网 络 中 ， 并 将 二 者 置 于 同一 个 安全 区 域 。 





图 4-19 域内 NAT+NAT Server 组 网 示意 图 


此 时 ， 如 果 希 望 私 网 用 户 像 公 网 用 户 一 样 ， 通 过 公 网 IP 地 址 1.1.1.1 访问 私 网 服务 
器 ， 就 要 在 防火 墙 上 配置 NAT Server。 但 是 仅仅 配置 NAT Server 会 有 问题 ， 如 图 4-20 
所 示 ， 私 网 用 户 访问 私 网 服务 器 的 报 文 到 达 防 火 墙 后 进行 目的 地 址 转换 (1.1.1.1-> 
10.1.1.2)， 私 网 服务 器 回应 报 文 时 发 现 目的 地 址 和 自己 的 地 址 在 同一 网 段 ， 回 应 报 文 经 
交换 机 直接 转发 到 私 网 用 户 ， 不 会 经 过 防火 墙 转发 。 
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SW .- 防火墙 


4-20 ”配置 NAT Server 后 的 报 文 转发 示意 图 

如 果 希 望 提高 内 部 网 络 的 安全 性 ， 使 私 网 服务 器 的 回应 报 文 也 经 过 防火 墙 处 理 ， 就 
需要 配置 域内 NAT， 将 私 网 用 户 访问 私 网 服务 器 的 报 文 的 源 地 址 进行 转换 。 转 换 后 源 地 
址 可 以 是 公 网 地 址 也 可 以 是 私 网 地 址 ， 只 要 不 和 私 网 服务 器 的 地 址 在 同一 网 段 即 可 ， 这 
样 私 网 服务 器 的 回应 报 文 就 会 被 发 送 到 防火 墙 。 

下 面 是 NAT Server 和 域内 NAT 的 配置 ， 黑 洞 路 由 的 配置 与 前 面 介绍 过 的 内 容 没 有 
区 别 ， 这 里 就 不 给 出 具体 配置 了 。 先 来 看 NAT Server 的 配置 。 

[FW] nat server protocol tep global 1.1.1.1 9980 inside 10.1.1.2 80 

配置 完成 后 ， 防 类 增生 成 的 eye li 


和 ‘ [FW] display firewall server-map 
9 Server-map item(s) ~ 










一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


， oa 


下 面 来 看 一 下 域内 NAT 的 配置 域内 NAT 的 配置 和 域 间 NAT 儿科 党 全 一 _ 样 ,只 
dialed NAT 转换 ， 后 者 在 域 间 进 行 NAT 转换 。 
Ew nat address-group 1 1.1.1.100 Ts 100 a Wn 


[FW] nat-policy zone trust 
eg ee policy 





se 10.1.1.2 0 We NAT Server 和 再 二 有志 


攻 WJakpaley uctao ai 0 ， 、 
上 面 没 有 给 出 安全 策略 的 配置 ， 这 是 因为 缺 省 情况 下 防火 墙 不 对 同一 安全 区 域内 流 
动 的 报 文 进行 控制 (USG6000 系列 防火 墙 是 个 特例 ， 报 文 在 同一 安全 区 域内 流动 时 也 受 
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安全 策略 控制 )。 当 然 ， 管 理 员 也 可 以 根据 实际 需要 配置 恰当 的 域内 安全 策略 。 
配置 完成 后 ， 私 网 用 户 使 用 1.1.1.1 访问 私 网 服务 器 ， 在 防火 墙 上 查看 会 话 表 ， 可 以 
清楚 地 看 到 报 文 的 源 地 址 和 目的 地 址 都 进行 了 转换 。 


10.L.1.3:2050LLLI00:2048I->11.1.129 son 1 .0l es 
我 们 通过 图 4-21 再 来 看 一 下 报 文 的 转换 过 程 。 





IP 报 文 


私 网 用 户 访问 私 网 服务 器 的 报 文 


Ss 






ea 


a 


谨 汪 全 


IP 报 文 


目的 地 址 : 10.1.1.2 
数据 


已 
| 入 
二 | 对 


5 


B27 


私 网 服务 器 的 回应 报 文 | 目的 地 址 : 1.1.1.100 


4-21 配置 域内 NAT+NAT Server 后 的 报 文 转发 示意 图 


如 果 我 们 在 这 个 组 网 环境 的 基础 上 做 一 个 变化 ， 将 私 网 用 户 和 私 网 服务 器 通过 不 同 
的 接口 连接 到 防火 墙 ， 此 时 私 网 用 户 和 私 网 服务 器 交互 的 所 有 报 文 都 需要 经 过 防火 墙 转 
发 ， 所 以 只 配置 NAT Server 是 可 以 的 。 

通过 上 面 的 介绍 , 大 家 是 不 是 感觉 到 双向 NAT 的 原理 和 配置 其 实 并 不 复杂 , 关键 是 
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要 明确 NAT 转换 的 方向 和 转换 后 地 址 的 作用 , 而 不 要 纠结 于 转换 后 是 公 网 地 址 还 是 私 网 
地 址 。 双 向 NAT 并 不 是 必 配 的 功能 ， 有 时 只 配置 源 NAT 或 NAT Server 就 可 以 达到 同样 
的 效果 ,但 是 灵活 应 用 双向 NAT 可 以 起 到 简化 网 络 配置 、 方 便 网 络 管理 的 作用 ， 也 就 达 
到 了 一 加 一 大 于 二 的 效果 。 


4.4 NATALG 


在 前 几 节 中 ， 强 叔 为 大 家 介绍 了 防火 墙 上 支持 的 源 NAT、NAT Server 和 双向 NAT， 
我 们 可 以 在 不 同 场景 下 灵活 运用 。 通 过 前 面 的 介绍 我 们 知道 ， NAT 技术 只 转换 报 文 头 中 
的 地 址 信息 ， 而 有 些 协 议 如 FTP， 其 报 文 载荷 中 也 带 有 地 址 信息 ， 如 果 防 火 墙 不 能 正确 
处 理 这 些 信 息 ， 将 会 导致 FTP 不 能 正常 工作 。 面 对 这 类 协议 时 ， 防 火 墙 该 如 何 处 理 呢 ? 
4.4.1 ”FTP 协议 穿越 NAT 设备 

首先 我 们 还 是 以 FTP 协议 为 例 ， 来 看 看 FTP 协议 在 通过 NAT 设备 时 会 遇 到 什么 问 
题 。 图 4-22 以 FTP 客户 端 位 于 私 网 、FTP 服务 器 位 于 公 网 ， 并 且 FTP 工作 在 主动 模式 
为 例 ， 展 示 了 FTP 协议 在 NAT 设备 上 的 交互 过 程 。 


源 NAT 





FTP Client 防火 墙 FTP Server 







SYN+ACK | SYN+ACK 
一 1 


ACK ACK 
交互 用 户 名 /密友 交互 用 户 名 /密码 
PORTCommand | PORT Command 
(IP 192.168.1.2 Port 2049) | (IP 192.168.1.2 Port 2049) 
PORT Command OK : PORT Command OK } 交互 PORT 命令 


192.168.1.2:2049 数据 连接 的 
?329 一 TCP 三 次 握手 


图 4-22 源 NAT 环境 下 的 FTP 交互 过 程 一 


可 以 看 到 , FTP 客户 端 与 FTP 服务 器 建立 控制 连接 后 , FTP 客户 端 向 FTP 服务 器 发 
送 PORT 命令 报 文 ， 报 文中 包含 FTP 客户 端的 私 网 地 址 和 端口 ， 防 火 墙 原封 不 动 地 将 该 
报 文 转发 至 FTP 服务 器 。 FTP 服务 器 收 到 报 文 后 , 便 根据 PORT 命令 的 信息 , 向 192.168.1.2 
发 送 数 据 连接 。 但 是 问题 来 了 ，192.168.1.2 是 一 个 私 网 地 址 ， 以 这 个 地 址 为 目的 地 址 的 
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报 文 根 本 就 无 法 在 公 网 上 传输 ， 所 以 FTP 业务 不 能 正常 运行 。 

此 时 防火 墙 就 需要 做 点 什么 来 扭转 局 面 ， 如果 在 转换 报 文 头 中 的 源 卫 地 址 后 , 同时 
把 报 文 应 用 层 信息 中 包含 的 IP 地 址 信息 也 转换 成 公 网 地 址 ， 那 么 FTP 服务 器 就 可 以 正 
常 发 起 数据 连接 请 求 了 。 

为 此 ， 防 火 墙 提供 了 NAT ALG (Application Level Gateway) 功能 ， 即 NAT 的 应 用 
层 网 关 。NAT ALG 是 一 种 穿越 NAT 设备 的 技术 ， 防 火 墙 在 进行 地 址 转换 时 ， 除 了 转换 
报 文 头 中 的 人 P 地 址 信息 ， 还 转换 报 文 载荷 中 携带 的 IP 地 址 信息 。 图 4-23 展示 了 在 防火 
墙 上 开启 NAT ALG 功能 后 ，FTP 协议 的 交互 过 程 。 


源 NAT 


FTP Client 防火 墙 FTP Server 









192.168.1.2 





一 -一 一 一 一 一 > 
SYN+ACK SYN+ACK 控制 连接 的 
ACK ACK TCP 三 次 握手 
一 -一 一 一生 一 一 一 一 
交互 用 户 名 /密码 交互 用 户 名 /密码 
PORT Command 1 PORT Command 
(IP 192.168.1.2 Port 2049) (IP1.1.1.1 Port 4097) 
PORT Command OK ! PORT Command OK } 交互 PORT 命令 
二 一 所 一 一 一 一 一 一 
ET 
4097 
‘SYN & @ 
数据 连接 的 
TCP 三 次 担 手 


图 4-23 源 NAT 环境 下 的 FTP 交互 过 程 二 


开启 NAT ALG 功能 后 ， 防 火 墙 将 PORT 命令 报 文中 携带 的 卫 地址 信息 转换 成 了 公 
网 地 址 1.1.1.1，FTP 服务 器 收 到 该 报 文 后 ， 就 可 以 向 1.1.1.1 这 个 地 址 发 起 数据 连接 了 。 

此 时 还 有 一 个 关键 问题 ， 就 算 FTP 服务 器 能 主动 发 起 连接 请 求 , 但 是 防火 墙 是 否 允 
许 该 连接 请 求 通过 ? 问题 到 这 里 又 回 到 了 如 何 穿越 防火 墙 上 ， 是 不 是 有 种 似曾相识 的 感 
觉 , 没 错 , 解决 方法 还 是 用 我 们 在 “第 2 章 安全 策略 ”中 讲 过 的 ASPF 功能 ! 开启 ASPF 
功能 后 ， 防 火 墙 会 为 FTP 的 数据 连接 开辟 隐形 通道 ， 使 其 绕 过 安全 策略 检查 ， 直 接 穿越 
防火 墙 。NAT 场景 下 FTP 业务 仍然 需要 这 个 功能 支持 。 实 际 上 ， 在 防火 墙 上 NAT ALG 
和 ASPF 功能 是 由 一 条 命令 控制 的 ， 开 启 NAT ALG 功能 就 等 于 同时 开启 了 ASPF 功能 ， 
因此 开启 NAT ALG 会 有 如 下 Server-map 表 项 生成 。 


Type: ASPF， 3.3.3.3 -> 1.1.1.1:24576[192.168.1.2:55177], Zone:- 一 
~ Protocol: tcp(Appro: ftp-data), Left-Time:00:00:03, Pool: - 
~ Vpn: public -> public 


这 里 生成 的 Server-map 表 项 带 有 地 址 转换 信息 ， 在 老化 时 间 之 内 ， 该 表 项 可 以 帮助 
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FTP 服务 器 发 起 的 数据 连接 请 求 报 文 顺利 穿越 防火 墙 ,准确 到 达 位 于 私 网 的 FTP 客户 端 。 
FTP 协议 的 完整 交互 过 程 如 图 4-24 所 示 。 


源 NAT 


FTP Client 防火 墙 FTP Server 


f! - Internet 















> 
口 
天 
> 
| 
天 


SYN+ACK SYN+ACK 控制 连接 的 
TCP 三 次 握手 
— > 一 -人 
交互 用 户 名 /密码 交互 用 户 名 /密码 
PORT Command PORT Command 
(IP 192.168.1.2 Port 2049) (IP 1.1.1.1 Port 4097) 
一 -一 一 
PORT Command OK PORT Command OK } 交互 PORT 命令 
ho 一 


192.168.1.2 


SYN 


二 -一 一 一 二 一 
SYN+ACK SYN+ACK 数据 连接 的 
ACK ] ACK TCP 三 次 握手 
OO ) 二 
LIST Command ! LIST Command 
OCC 1 
传输 数据 | 传输 数据 
ae 1 
I 


图 4-24 源 NAT 环境 下 的 FTP 交互 过 程 三 


除了 源 NAT 场景 ，NAT Server 场景 中 也 需要 开启 NAT ALG 和 ASPF 功能 。 以 FTP 
客户 端 位 于 公 网 、FTP 服务 器 位 于 私 网 ， 并 且 FTP 工作 在 被 动 模式 为 例 ， 图 4-25 给 出 
了 FTP 协议 的 完整 交互 过 程 。 

防火 墙 上 生成 的 Server-map 表 项 如 下 所 示 。 


[FW] display firewall server-map 
Server-map item(s) 
-> 1.2; Zone: --- 
Protocol: tcp(Appro: ftp), Left-Time: --:--:--, Addr-Pool: —- 


VPN: public -> public 


Nat Server Reverse, 192.168.1.2[1.1.1.1] -> any, Zone: --- 
Protocol: any(Appro: ---), Left-Time: --:--;--, Addr-Pool: -一 
VPN: public -> public 


ASPF, 3.3.3.3 -> 1.1.1.1:4097[192.168.1.2:2049], Zone: -一 
Protocol: tcp(Appro: ftp-data), Left-Time: 00:00:53, Addr-Pool: --- 
VPN: public -> public 
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FTP 客户 端 发 起 的 控制 连接 的 报 文 命中 NAT Server 的 正 向 Server-map 表 项 ， 进 行 
地 址 转换 ，FTP 客户 端 发 起 的 数据 连接 的 报 文 命中 ASPF 生成 的 Server-map 表 项 ， 进 行 
地 址 转换 。 


NAT Server 


FTP Server 防火 墙 FTP Client 







21 









! 一 Q@, 
SYN+ACK - SYN+ACK 连接 的 
ACK 1 ACK TCP 三 次 握手 
< 二 -一 一 
交互 用 户 名 /密码 交互 用 户 名 /密码 
PASV Command ! PASV Command 
1 < 一 一 一 一 一 
PASV Command OK 1 PASV Command OK © 
(IP 192.168.1.2 Port 2049) Ez (IP 1.1.1.1 Port 4097) } PORT 命令 
一 一 
192.168.1.2 
© 
snack ~ smack ~ 数据 连接 的 
TCP 三 次 握手 
EE 
LIST Command : LIST Command 
A : A 
传输 数据 | 传输 数据 
i L ee 


4-25 NAT Server 环境 下 的 FTP 交互 过 程 


综 上 所 述 ， 如 果 网 络 中 存在 FTP、SIP、H323 等 这 些 多 通道 协议 ， 在 防火 墙 进行 地 
址 转换 的 场景 中 ， 一 般 都 建议 在 防火 墙 上 同时 开启 NAT ALG 和 ASPF 功能 ， 保 证 基于 
这 些 协议 的 业务 能 够 正常 运行 。 


4.4.2 QQ/MSN/User-defined 协议 穿越 NAT 设备 


在 “第 2 章 安全 策略 ” 中， 我 们 还 提 到 了 QQ/MSN/User-defined 协议 ， 防 火 墙 会 把 
这 些 协议 归 类 于 STUN 协议 。 其 实 这 里 的 STUN (Simple Traversal of UDP Through 
Network Address Translators，UDP 对 NAT 的 简单 穿越 ) 也 是 一 种 穿越 NAT 设备 的 方式 。 
与 NAT ALG 不 同 的 是 ，STUN 不 需要 NAT 设备 做 任何 处 理 ， 而 是 通过 STUN 客户 端 与 
服务 器 之 间 的 信息 交互 ， 使 位 于 私 网 的 客户 端 事 先 获取 到 自己 的 公 网 地 址 ， 然 后 客户 端 
将 该 公 网 地 址 填充 到 报 文 的 载荷 中 再 发 送出 去 。 这 样 ， 位 于 公 网 的 用 户 就 可 以 直接 从 载 
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荷 中 得 到 该 客户 端的 公 网 地 址 ， 进 而 可 以 向 该 地 址 发 起 连接 请 求 。 
既然 防火 墙 把 QQ/MSN/User-defined 都 看 成 是 STUN 协议 了 ， 所 以 如 何 保证 基于 这 
些 协 议 的 业务 在 地 址 转换 时 还 能 正常 运行 ， 就 由 协议 自己 负责 ， 不 用 再 配置 NAT ALG 
了 。 但 是 ， 我 们 仍然 需要 考虑 如 何 保证 这 些 业务 的 报 文 能 顺利 通过 防火 墙 ， 解 决 方法 还 
是 开启 ASPF 功能 ， 报 文 匹 配 了 ASPF 生成 的 Server-map 表 项 后 ， 就 可 以 穿越 防火 墙 。 
以 TFTP 协议 为 例 ， 下 面 给 出 了 在 NAT 环境 下 ，ASPF 生成 的 User-defined 协议 的 
三 元 组 Server-map 表 项 (QQ/MSN 生成 的 Server-map 表 项 与 之 类 似 )。 


Type: STUN, ANY -> 1.1.1.1:4096[192.168.1.2:63212]， Zone:--- 

Protocol: udp(Appro: stun-derived), Left-Time:00:04:58, Pool: 1, Section: 0 

Vpn: public -> public 

_Type: STUN Reverse, 192.168.1.2:63212[1.1.1.1:4096] -> ANY， Zone:--- 

Protocol: udp(Appro: stun-derived), Left-Time:00:04:58, Pool: 1, Section: 0 

Vpn: public -> public 

与 非 NAT 环境 下 生成 的 表 项 不 同 ， 在 NAT 环境 下 的 表 项 带 有 地 址 转换 信息 ， 并 且 
生成 了 两 个 Server-map 表 项 , 其 中 Type 为 STUN 的 是 正 向 表 项 , Type 为 STUN Reverse 
的 是 反 向 表 项 。 在 老化 时 间 之 内 正 向 表 项 可 以 帮助 TFTP 服务 器 发 起 的 连接 请 求 报 文 
顺利 穿越 防火 墙 ， 准 确 到 达 位 于 私 网 的 TFTP 客户 端 。 反 向 表 项 可 以 使 TFTP 客户 端 以 
特定 端口 63212 向 TFTP 服务 器 发 起 访问 的 报 文 都 转换 成 相同 的 公 网 地 址 〈1.1.1.1) 和 
端口 〈4096)， 即 保证 了 用 户 〈 私 网 地 址 ) 的 一 个 特定 应 用 《端口 号 )， 对 外 表现 为 一 个 
固定 的 公 网 地 址 和 端口 号 ， 有 利于 TFTP 协议 正常 运行 。 


4.4.3 一 条 命令 同时 控制 两 种 功能 


在 一 些 比较 古老 的 华为 防火 墙 产 品 上 ，ASPF 和 NAT ALG 是 分 别 开 启 的 ， 由 两 条 不 
同 的 命令 控制 。 目 前 绝 大 多 数 防火 墙 产品 ， 都 是 由 一 条 命令 来 同时 开启 这 两 个 功能 ， 即 
在 域 间 或 域内 配置 detect 命令 开启 ASPF 功能 后 ， 同 时 就 开启 了 NAT ALG 功能 

当然 , 防火 墙 会 具体 情况 具体 分 析 , 根据 是 否 存 在 NAT 环境 以 及 各 个 协议 的 特征 来 
判断 何 时 需要 NAT ALG 处 理 ， 何 时 需要 ASPF 处 理 ， 何 时 需要 两 者 同时 处 理 。 而 我 们 
只 需要 执行 一 次 命令 即 可 ， 剩 下 的 事 都 交 给 防火 墙 ， 减 少 了 配置 的 工作 量 。 

针对 几 个 典型 协议 ， 表 4-3 给 出 了 执行 detect 命令 后 ， 防 火 墙 上 的 处 理 方式 。 

表 4-3 _ 典 型 协议 的 处 理 方式 
a | ”作用 


| 生 三 en -map 表 项 ， 保证 其 他 主机 访 问 FTP/SIP/ 
a H323 主机 的 报 文 能 穿越 防火 墙 
bed 国富 对 报 文 载荷 中 的 IP 地 址 进行 地 址 转换 
H323 NAT 环境 ee 生成 Server-map 表 项 〈 带 地 址 转换 信息 )， 保 证 公 网 
ASPF 上 其 他 主机 访问 私 网 FTP/SIP/H323 主机 的 报 文 能 穿 
越 防火 墙 
三 元 组 Server-ma 项 ， 保 证 主机 访问 
Bs Oo 
MSN i re 生成 三 元 组 Server-map 表 项 〈 带 地 址 转换 信息 )， 保 
User-defined NAT 环境 ASPF 证 公 网 上 其 他 主机 访问 私 网 QQ/MSN/User-defined 主 
机 的 报 文 能 穿越 防火 墙 
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上 面 我 们 介绍 了 在 NAT 环境 下 ASPF 为 User-defined 协议 生成 的 三 元 组 Server-map 
表 项 ， 在 4.1.6 节 “ 三 元 组 NAT” 中 ， 我们 还 提 到 了 三 元 组 NAT 功能 ， 它 也 会 生成 三 元 
组 Server-map 表 项 ， 那 么 这 两 个 功能 有 什么 区 别 呢 ? 


4.4.4 ” ”User-defined 类 型 的 ASPF 和 三 元 组 NAT 辨 义 


三 元 组 NAT 主 要 解决 的 是 P2P 和 NAT 无 法 共存 的 问题 ,内 部 网 络 的 主机 访问 Internet 
时 , 在 防火 墙 上 经 过 NAT 地 址 转换 后 建立 起 来 了 非 对 称 的 网 络 体系 ,只 能 是 内 网 主机 访 
问 Internet， 而 Internet 上 的 用 户 不 能 主动 向 内 网 主机 发 起 访问 。 

部 署 三 元 组 NAT 后 , 防火墙 上 会 生成 Server-map 表 项 来 保证 Internet 上 用 户主 动 访 
问 内 网 主机 的 报 文 能 够 顺利 穿越 防火 墙 ， 使 得 基于 P2P 技术 的 文件 共享 、 语 音 通信 、 视 
频传 输 等 应 用 能 够 在 NAT 环境 中 正常 运行 。 

三 元 组 NAT 生成 的 Server-map 表 包 括 源 和 目的 〈 一 正 一 反 ) 两 个 表 项 ， 如 下 所 示 。 

Type: FullCone Sre, 192.168.1.2:51451[1.1.1.1:2048] > ANY, Zone:--- 
Protocol: tcp(Appro: -—), Left-Time:00:00:57, Pool: 1, Section: 0 

Vpn: public -> public 

Type: FullCone Dst, ANY -> 1.1.1.1:2048[192.168.1.2:51451]， Zone:--- - 
Protocol: tcp(Appro: —), Left-Time:00:00:57, Pool: 1, Section: 0 

Vpn: public -> public 

其 中 ，FullCone Sre 是 源 Server-map 表 项 ， 在 老化 时 间 内 ， 使 内 网 主机 以 特定 端口 
《51451) 向 外 发 起 访问 的 报 文 都 转换 成 相同 的 公 网 地 址 〈1.1.1.1) 和 端口 《2048)， 即 保 
证 用 户 ( 私 网 地 址 ) 的 一 个 特定 应 用 〈 端 口号 )， 对 外 呈现 为 一 个 固定 的 公 网 地 址 和 端口 
号 ， 有 利于 P2P 业务 的 正常 运行 ; FullCone Dst 是 目的 Server-map 表 项 , 在 老化 时 间 内 ， 
保证 了 外 部 主机 可 以 主动 向 对 应 的 内 网 主机 发 起 访问 。 

对 照 NAT 环境 下 ASPF 为 User-defined 协议 生成 的 三 元 组 Server-map 表 项 ， 发 现 两 
者 都 生成 了 两 条 表 项 , 而 且 都 包含 地 址 、 端 口 和 协议 类 型 三 个 元 素 。 我们 可 以 将 NAT 环 
境 下 ASPF 对 User-defined 协议 的 处 理 方式 看 成 是 一 种 特殊 的 三 元 组 NAT， 两 者 都 能 够 
使 P2P 这 类 应 用 的 报 文 正常 穿越 防火 墙 ， 不 会 被 防火 墙 阻 断 。 

下 面 再 来 看 看 两 者 的 差异 ，ASPF 在 NAT 环境 和 非 NAT 环境 下 都 可 以 工作 ， 如 果 
没有 NAT 存在， 就 生成 正常 的 三 元 组 Server-map 表 项 ， 如 果 有 NAT 存 在， 就 生成 带 地 
址 转换 信息 的 三 元 组 Server-map 表 项 。 而 三 元 组 NAT 本 身 是 NAT 的 一 种 方式 ， 只 能 在 
NAT 环境 下 工作 ， 其 生成 的 Server-map 表 项 也 都 带 有 地 址 转换 信息 。 

另外 还 有 一 点 重要 的 区 别 ， 报 文 命中 了 ASPF 生成 的 三 元 组 Server-map 表 项 后 ， 就 
不 会 进行 安全 策略 的 检查 ， 防 火 墙 直接 允许 其 通过 (也 可 以 通过 域 间 配 置 aspf 
packet-filter acl-number { inbound | outbound } 或 域内 配置 aspf packet-filter acl-number 
命令 来 过 滤 报 文 ); 而 报 文 命中 了 三 元 组 NAT 生成 的 三 元 组 Server-map 表 项 后 ， 是 否 进 
行 安全 策略 的 检查 受 firewall endpoint-independent filter enable 命令 开关 控制 ， 开 关 开 
启 后 不 进行 安全 策略 的 检查 ， 开 关 关 闭 后 进行 安全 策略 的 检查 。 

从 配置 的 角度 来 说 ， 配 置 User-defined 协议 的 ASPF 时 ， 需 要 熟知 协议 特征 ， 精 确 
定义 ACL， 配 置 错误 将 会 导致 该 协议 无 法 工作 ， 也 可 能 会 影响 其 他 业务 的 正常 运行 ， 对 
管理 员 要 求 较 高 。 而 三 元 组 NAT 的 配置 过 程 相对 来 说 较为 简单 ， 配 置 NAT 策略 ， 地 址 
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池 方 式 指定 为 三 元 组 NAT (full-cone 参数 ) 即 可 。 

这 两 个 功能 在 华为 防火 墙 上 的 支持 情况 也 不 相同 ，USG9500 系列 防火 墙 同 时 支持 
User-defined 协议 的 ASPF 和 三 元 组 NAT，USG2000/5000/6000 系列 防火 墙 仅 支持 
User-defined 协议 的 ASPF， 不 支持 三 元 组 NAT。 所 以 当 网 络 中 同时 存在 NAT 和 P2P 应 
用 时 ， 在 USG9500 系列 防火 墙 上 推荐 配置 三 元 组 NAT 来 保证 P2P 业务 正常 运行 ， 在 
USG2000/5000/6000 系列 防火 墙 上 可 以 配置 User-defined 协议 的 ASPF 来 保证 P2P 业务 的 
正常 运行 。 

表 4-4 给 出 了 User-defined 类 型 的 ASPF 和 三 元 组 NAT 的 对 比 总 结 。 

表 4-4 User-defined 类 型 的 ASPF 和 三 元 组 NAT 对 比 


Server-map 表 项 元 素 地 址 、 端 口 和 协议 类 型 地 址 、 端 口 和 协议 类 型 
两 两 条 
Server-map 表 项 数目 正 向 表 项 和 反 向 表 项 源 表 项 和 目的 表 项 


工作 环境 NAT 环境 和 非 NAT 环境 NAT 环境 


报 文 命中 Server-map 表 项 后 不 受 | 由 命令 决定 报 文 命中 Server-map 表 项 后 











条 
日 机 口 四 


对 安全 策略 影响 。 | 安全 策略 控制 是 否 受 安全 策略 控制 
配置 要 求 精确 定义 ACL 规则 NAT 地 址 池 配 置 为 full-cone 方式 
总 USG2000/5000/6000/9500 系列 防 


4.5 _ NAT 场景 下 黑洞 路 由 的 作用 

在 前 面 几 节 中 ， 强 叔 多 次 提 到 配置 NAT 的 同时 要 配置 黑洞 路 由 ,避免 路 由 环 路 ， 那 
么 为 什么 要 这 么 做 昵 ? 本 节 强 叔 就 来 为 大 家 详细 介绍 其 中 缘由 。 
4.5.1 源 NAT 场景 下 的 黑洞 路 由 

首先 我 们 搭建 一 个 典型 的 源 NAT 组 网 环境 ， 如 图 4-26 所 示 。 


NAT 地 址 池 地 址 
202.1.1.10 


GE1/0/1 GE1/0/2 


192.168.0.1/24 四 202.1.1.1/30 





图 4-26 源 NAT 组 网 图 一 


防火 墙 上 NAT 的 相关 配置 如 下 所 示 。 
(1) 配置 NAT 地 址 池 


[FW] nat address-group 1 202.1.1.10 202.1.1.10 
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(2) 配置 NAT 策略 


[FW] nat-policy interzone trust untrust outbound 
[FW-nat-policy-interzone-trust-untrust-outbound] policy 1 
[FW-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255 
[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
[FW-nat-policy-interzone-trust-untrust-outbound-1] address-group 1 
[FW-nat-policy-interzone-trust-untrust-outbound-1] quit 
[FW-nat-policy-interzone-trust-untrust-outbound] quit 

(3) 配置 安全 策略 

[FW] policy interzone trust untrust outbound 
[FW-policy-interzone-trust-untrust-outbound] policy 1 
[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255 
{FW-policy-interzone-trust-untrust-outbound-1] action permit 
[FW-policy-interzone-trust-untrust-outbound-1] quit 
[FW-policy-interzone-trust-untrust-outbound] quit 


另外 ， 防 火 墙 上 还 配置 了 一 条 缺 省 路 由 ， 下 一 跳 指向 路 由 器 接口 的 地 址 202.1.1.2。 


[FW] ip route-static 0.0.0.0 0 202.1.1.2 


NAT 地 址 池 地 址 是 202.1.1.10， 防 火 墙 与 路 由 器 相连 接口 的 地 址 是 202.1.1.1， 捧 码 


是 30 位 ，NAT 地 址 池 地 址 与 防火 墙 公 网 接口 地 址 不 在 同一 网 段 。 


正常 情况 下 ， 私 网 PC 访问 公 网 Web 服务 器 ， 生 成 会 话 表 ， 源 地 址 也 进行 了 转换 ， 


一 切 都 没有 问题 。 


不 ， 


[FW] display firewall session table 
Current Total Sessions : 1 
http VPN:public --> public 192.168.0.2:2050[202.1.1. 二 1.1.2:80 


此 时 ， 如 果 公 网 上 的 一 台 PC， 主 动 访问 防火 墙 上 的 NAT 地 址 池 地 址 ， 如 图 4-27 所 
会 发 生 什 么 情况 呢 ? 









NAT 地 址 池 地 址 
202.1.1.10 
GE1/0/1 GE1/0/2 
192.168.0.1/24 SN 202.1.1.1/30 i 
二 是 二 


防火 墙 





4-27 源 NAT 组 网 图 二 


我 们 在 公 网 PC 上 执行 ping 2 202.1.1.10 命令 ， 发 现 无 法 ping 通 ， 如 下 。 


PC> ping 202.1.1.10 

Ping 202.1.1.10: 32 data bytes, Press Ctrl | c to break 
Request timeout! 

Request timeout! 

Request timeout! 

Reguest timeout! 

Request timeout! 


--- 202.1.1.10 ping statistics 一 - 
5 packet(s) transmitted 

a 0packet(s) received 
100.00% packet loss 
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显然 ,这 是 正常 的 结果 。 因 为 NAT 地 址 池 只 有 在 转换 私 网 地 址 的 时 候 才 会 用 到 ， 也 
就 是 说 ， 私 网 PC 必须 先 发 起 访问 请 求 ， 防 火 墙 收 到 该 请 求 后 才 会 为 其 转换 地 址 ，NAT 
地 址 池 地 址 并 不 对 外 提供 任何 单独 的 服务 。 所 以 当 公 网 PC 主动 访问 NAT 地 址 池 地 址 时 ， 
报 文 无 法 穿 过 防火 墙 到 达 私 网 PC， 结 果 肯 定 不 通 。 

但 实际 情况 远 没有 这 么 简单 ， 我 们 在 防火 墙 的 GE1/0/2 接口 抓 包 ， 然 后 再 次 在 公 网 
PC 上 执行 ping 202.1.1.10 rad 这 次 我 们 使 用 -e 1 参数 ， 人 ping 报 文 。 


PC> ping 202.1.1.10 -cl 
Ping 202.1.1.10: 32 data bytes, Press Ctrl_C to break 、 
Request timeout! 
202.1.1.10 ping statistics —- 
1 packet(s) transmitted 
«0 packet(s) received 
100.00% packet loss 


然后 ， 查 看 GE1/0/2 接口 上 的 抓 包 信息 ， 如 下 所 示 。 


a 69 
d4 dc 01 ca 01 
2 0001 08 09 0a Ob Oc 0d 
4 15 16 17 18 19 la 1ib ICc Id 
24 25 26 27 





吐 ! 不 看 不 知道 ， 一 看 吓 一 跳 ， 居 然 看 到 了 这 么 多 ICMP 报 文 。 经 过 分 析 发 现 ， 报 
文 的 TTL 值 逐 一 递减 ， 最 后 变 为 1。 我 们 都 知道 ，TTL 是 报 文 的 生存 时 间 ， 每 经 过 一 台 
设备 的 转发 ，TTL 的 值 减 1， 当 TTL 的 值 为 0 时 ， 就 会 被 设备 丢弃 。 这 说 明 公 网 PC 主 
动 访问 NAT 地 址 池 地 址 的 报 文 ， 在 防火 墙 和 路 由 器 之 间 相 互 转发 ， 直 到 TTL 变 成 0 之 
后 ， 被 最 后 收 到 该 报 文 的 设备 丢弃 。 

我 们 来 梳理 一 下 整个 过 程 ， 如 下 所 示 。 

(1) 路 由 器 收 到 公 网 PC 访问 NAT 地 址 池 地 址 的 报 文 后 ,发现 目的 地 址 不 是 自己 的 
直 连 网 段 ， 因 此 查找 路 由 ， 发 送 到 防火 墙 。 
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(2) 防火 墙 收 到 报 文 后 ， 该 报 文 不 属于 私 网 访问 公 网 的 回程 报 文 ， 无 法 匹配 到 会 话 
表 ， 同 时 目的 地 址 也 不 是 自己 的 直 连 网 段 (防火 墙 没 有 意识 到 该 报 文 的 目的 地 址 是 自己 
的 NAT 地 址 池 地 址 )， 只 能 根据 缺 省 路 由 来 转发 。 因 为 报 文 从 同一 接口 入 和 出 ， 相 当 于 
在 同一 个 安全 区 域 流 动 ， 缺 省 情况 下 也 不 受 安 全 策略 的 控制 ， 就 这 样 报 文 又 从 GE1/0/2 
接口 发 送 到 路 由 器 。 

(3) 路 由 器 收 到 报 文 后 ， 再 次 查找 路 由 ， 还 是 发 送 至 防火 墙 ， 如 此 反复 。 这 个 可 怜 
的 报 文 像 皮球 一 样 被 两 台 设备 踢 来 踢 去 ， 最 终 被 残忍 丢弃 ， 憾 别 网 络 …… 

下 面 我 们 来 看 一 下 配置 了 黑洞 路 由 的 情况 。 首 先 在 防火 墙 上 配置 一 条 目的 地 址 是 
NAT 地 址 池 地 址 的 黑洞 路 由 ， 为 了 避免 这 条 黑洞 路 由 影响 其 他 业务 ， 我们 将 掩 码 配 置 成 
32 位 ， 精 确 匹 配 202.1.1.10 这 个 地 址 。 


[FW] ip route-static 202.1.1.10 32 NULL 0 


然后 ， 在 防火 墙 的 GE1/0/2 接口 上 开启 抓 包 ， 在 公 网 PC 上 执行 ping 202.1.1.10 -c 1 
命令 ， 还 是 只 发 送 一 个 ping 报 文 ， 查 看 抓 包 信息 ， 如 下 所 示 。 


VE Bev 35637 from /t 2 


田 : HuaweiTe_1a:69:;4 5 《54: 89: Rd 69: 45)， 和 00:00; 00_5c:88:01 Co0:00:00:5e:88:0) 
|m Internet Protoco1， Src: 和 (220.1.1,27，Dst: 202.1.1.10 {202.1.1.10) 
WW Internet Control Message Protocol > 


600 00 8 : 69 45 08 4 FT FF 
0 00 3c 7a be 40 00 7f 01 d8 f3 dc 01 0l 02 ca ol 
a 00 01 08 09 0a 0b Oc 0d 
16 17 18 19 la ib ic 1d 
26 27 





只 抓 到 了 一 个 ICMP 报 文 ， 说 明 防 火 墙 收 到 路 由 器 发 送 过 来 的 报 文 后 ， 匹 配 到 了 黑 
洞 路 由 ， 直 接 将 报 文 丢弃 了 。 此 时 就 不 会 在 防火 墙 和 路 由 器 之 间 产 生路 由 环 路 ， 即 使 防 
火 墙 收 到 再 多 的 同类 型 报 文 ， 都 会 送 到 黑洞 中 ， 让 报 文 一 去 不 复 返 。 并 且 ， 这 条 黑洞 路 
由 不 会 影响 正常 业务 ， 私 网 PC 还 是 可 以 正常 访问 公 网 Web 服务 器 。 

到 这 里 大 家 可 能 会 问 了 , 没有 配置 黑洞 路 由 时 , 报 文 最 终 也 会 被 丢弃 , 没 喻 问题 啊 ? 
上 面 我 们 只 是 用 了 一 个 ping 报 文 来 演示 这 个 过 程 ， 试 想 一 下 ， 如 果 公 网 上 的 捣乱 分 子 利 
用 成 千 上 万 的 PC 主动 向 NAT 地 址 池 地 址 发 起 大 量 访问 , 无 数 的 报 文 就 会 在 防火 墙 和 路 
由 器 之 间 循 环 转发 ， 占 用 链 路 带宽 资源 ， 同 时 防火 墙 和 路 由 器 将 会 消耗 大 量 的 系统 资源 
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来 处 理 这 些 报 文 ， 就 可 能 导致 无 法 处 理 正常 的 业务 。 

所 以 ， 当 防火 墙 上 NAT 地 址 池 地 址 和 公 网 接口 地 址 不 在 同一 网 段 时 ， 必 须 配 置 黑 
洞 路 由 ， 避 免 在 防火 墙 和 路 由 器 之 间 产 生路 由 环 路 。 

那么 如 果 NAT 地 址 池 地 址 和 公 网 接口 地 址 在 同一 网 段 时 , 还 会 有 这 个 问题 吗 ? 我 们 
再 来 验证 一 下 。 

首先 ， 将 防火 墙 和 路 由 器 相连 的 接口 的 掩 码 修 改 为 24 位 ， 这 样 接口 地 址 和 NAT 地 
址 池 地 址 就 在 同一 网 段 了 ， 然 后 去 掉 黑 洞 路 由 的 配置 ， 接 下 来 在 防火 墙 的 GE1/0/2 接口 
抓 包 ， 在 公 网 PC 执行 ping 202.1.1.10 -c 1 命令 ， 查 看 抓 包 信息 ， 如 下 所 示 。 






G0 A 1 二 :00; 


ARP 60 ho has 202.1.1 1T02 Te 3071.1 


TL We: ;HuaweiTe_13 :69:45 (54:89:98:1 a:69:45), Dst; 00:;00:;00_5c:88:01 C00:00:00:5c:88:01) 
Internet protocol, Src: 220.1,.1.2 (220.1.1,2), Dst: 202.1.1.10 (202.1.1.10) 
ontrol eo otocol 


505 00 veT。。。 
0010 00 ac 3c 3240 90 7f ot f7 7F dc 01 01 02 ca 01 -<\ 

0020 0 0a 08 00 54 21 32 5c¢ 00 01 08 09 0a Ob Oc 0d 

100 党 of 10 11 12 13 14 15 16 17 18 19 1a ib ic 1d 

0040 le if 20 21 22 23 24 25 26 27 





我 们 发 现 ， 只 抓 到 了 3 个 ARP 报 文 和 一 个 ICMP 报 文 ， 公 网 PC 访问 NAT 地 址 池 
地 址 的 报 文 没 有 在 防火 墙 和 路 由 之 间 相 互 转发 。 梳 理 整 个 过 程 ， 如 下 所 示 。 

(1) 路 由 器 收 到 公 网 PC 访问 NAT 地 址 池 地 址 的 报 文 后 ， 发 现 目的 地 址 属于 自己 的 
直 连 网 段 ， 发 送 ARP 请 求 ， 防 火 墙 会 回应 这 个 ARP 请 求 ， 前 两 个 ARP 报 文 就 是 来 完成 
了 这 一 交互 过 程 的 。 然 后 路 由 器 使 用 防火 墙 告知 的 MAC 地 址 封装 报 文 ， 发 送 至 防火 墙 。 

(2) 防火 墙 收 到 报 文 后 ， 发 现 报 文 的 目的 地 址 和 自己 的 GE1/0/2 接口 在 同一 网 段 ， 
直接 发 送 ARP 请 求 报 文 (第 三 个 ARP 报 文 )， 寻 找 该 地 址 的 MAC 地 址 (防火墙 依然 没 
有 意识 到 该 报 文 的 目的 地 址 是 自己 的 NAT 地 址 池 地 址 )。 但 是 网 络 中 其 他 设备 都 没有 配 
置 这 个 地 址 ， 肯 定 就 不 会 回应 ， 最 终 防 火 墙 将 报 文 丢弃 。 

所 以 说 ， 在 这 种 情况 下 不 会 产生 路 由 环 路 。 但 是 如 果 公 网 上 的 捣乱 分 子 发 起 大 量 访 
问 时 , 防火墙 将 发 送 大 量 的 ARP 请 求 报 文 ， 也 会 消耗 系统 资源 。 所 以 ， 当 防火 墙 上 NAT 
地 址 池 地 址 和 公 网 接口 地 址 在 同一 网 段 时 ,建议 也 配置 黑洞 路 由 ,避免 防火 墙 发 送 ARP 
请 求 报 文 ， 节 省 防火 墙 的 系统 资源 。 

下 面 是 配置 黑洞 路 由 后 的 抓 包 信息 ， 可 以 看 到 ， 防 火 墙 没 有 再 发 送 ARP 请 求 报 文 。 
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E33 thner TI， Src3 0 :45 (54:89:98: 1a:69: 45), Dst: 00:00:00_5c:88: OE Co0:00:00:5e:88:01) 
RB Internet prorocol, Sre: 220 汪 -242220222 4 275 Dst: 202.1.1.10 (202.1.1.307 
Prorocol 


Bm Internet Control Message 





还 有 一 种 极端 情况 ， 我 们 配置 源 NAT 时 ， 可 以 直接 把 公 网 接口 地 址 作为 转换 后 地 址 
(Easy-IP 方式 )， 也 可 以 把 公 网 接口 地 址 配置 成 地 址 池 地 址 。 这 样 ，NAT 转换 使 用 的 地 
址 和 公 网 接口 地 址 就 是 同一 个 地 址 了 。 在 这 种 情况 下 ， 需 要 配置 黑洞 路 由 吗 ? 

我 们 来 分 析 一 下 整个 流程 : 防火 墙 收 到 公 网 PC 的 报 文 后 ， 发 现 是 访问 自身 的 报 文 ， 
这 时 候 就 取决 于 公 网 接口 所 属 安全 区 域 和 Local 安全 区 域 之 间 的 安全 策略 ， 安 全 策略 允 
许 通 过 ， 就 处 理 ， 安 全 策略 不 允许 通过 ， 就 丢弃 。 不 会 产生 路 由 环 路 ， 也 不 需要 配置 黑 
洞 路 由 。 


4.5.2 NAT Server 场景 下 的 黑洞 路 由 


看 到 这 里 ， 聪 明 的 读者 肯定 会 问 ，NAT Server 有 没有 这 个 问题 啊 ? 强 叔 告诉 大 家 ， 
NAT Server 也 存在 路 由 环 路 的 问题 ， 不 过 发 生路 由 环 路 的 前 提 条 件 比较 特殊 ， 要 看 NAT 
Server 是 怎样 配置 的 。 下 面 是 一 个 典型 的 NAT Server 组 网 环境 ， 我 们 先 来 看 一 下 NAT 
Server 的 Global 地 址 和 公 网 接口 地 址 不 在 同一 网 段 的 情况 ， 如 图 4-28 所 示 。 假设 接口 地 
址 、 安 全 区 域 、 安 全 策略 、 路 由 都 已 经 配置 完整 ， 此 处 不 再 闭 述 。 

NAT Server 公 网 地 址 
202.1.1.20 


GE1/0/1 GE1/0/2 
192.168.0.1/24 Bae 202.1.1.1/30 





图 4-28 NAT Server 组 网 图 
如 果 我 们 在 防火 墙 上 配置 了 一 条 粗 久 型 的 NAT Server, 将 私 网 Web 服务 器 发 布 到 公 
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网 ， 如 下 所 示 。 
[FW] nat server global 202.1.1.20 inside 192.168.0.20 

公 网 PC 访问 202.1.1.20 的 报 文 ， 目 的 地 址 都 会 被 转换 成 192.168.0.20， 然 后 发 送 给 
私 网 Web 服务 器 ， 这 个 时 候 自 然 不 会 产生 路 由 环 路 。 

但 是 如 果 我 们 配置 了 一 条 精细 化 的 NAT Server, 只 把 私 网 Web 服务 器 特定 的 端口 发 
布 到 公 网 上 ， 如 : 

[FW] nat server protocol tep 202.1. 1.20 9980 inside 192.168.0.20 80 

此 时 如 果 公 网 PC 不 按 常 理 出 牌 , 没有 访问 202.1.1.20 的 80 端口 , 而 是 使 用 ping 命 
令 访问 202.1.1.20， 防 火 墙 收 到 该 报 文 后 ， 既 无 法 匹配 Server-map 表 ， 也 无 法 匹配 会 话 
表 ， 就 只 能 查找 路 由 转发 ， 从 GE1/0/2 接口 送出 去 。 而 路 由 器 收 到 报 文 后 ， 还 是 要 送 到 
防火 墙 ， 这 样 依然 会 产生 路 由 环 路 。 


4d 13 00 0f 08 09 0a Ob Oc Od 


6a 
1 12 13 14 15 16 1i7 18 19 13 ib ic 1d 
0 le 1f 20 21 22 23 24 25 26 27 





所 以 ， 当 防火 墙 上 配置 了 特定 协议 和 端口 的 NAT Server 并 且 NAT Server 的 Global 
地 址 和 公 网 接口 地 址 不 在 同一 网 段 时 ， 必 须 配置 黑洞 路 由 ， 避 免 在 防火 墙 和 路 由 器 之 间 
产生 路 由 环 路 。 

如 果 NAT Server 的 Global 地 址 和 公 网 接口 地 址 在 同一 网 段 , 防火 墙 收 到 公 网 PC 的 
ping 报 文 后 ， 会 发 送 ARP 请 求 报 文 ， 这 个 过 程 就 和 前 面 讲 过 的 NAT 的 情况 是 一 样 的 。 
同 理 ， 当 防火 墙 上 配置 了 特定 协议 和 端口 的 NAT Server 并 且 NAT Server 的 Global 地 
址 和 公 网 接口 地 址 在 同一 网 段 时 ， 建 议 也 配置 黑洞 路 由 ， 避 人 免 防火 墙 发 送 ARP 请 求 报 
文 ， 节 省 防火 墙 的 系统 资源 。 

同样 ， 我 们 配置 NAT Server 时 ， 也 可 以 把 公 网 接口 地 址 配置 成 Global 地 址 。 此 时 ， 
防火 墙 收 到 公 网 PC 的 报 文 后 ， 如 果 能 匹配 上 Server-map 表 ， 就 转换 目的 地 址 ， 然 后 转 
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发 到 私 网 ， 如 果 不 能 匹配 上 Server-map 表 ， 就 会 认为 是 访问 自身 的 报 文 ， 由 公 网 接口 所 
属 安全 区 域 和 Local 安全 区 域 之 闻 的 安全 策略 决定 如 何 处 理 ， 不 会 产生 路 由 环 路 ， 也 不 
需要 配置 黑洞 路 由 。 


4.5.3 ”总结 


讲 到 这 里 , 相信 大 家 一 定 明白 了 配置 黑洞 路 由 的 原因 , 是 不 是 感觉 内 功 又 提升 了 呀 。 
我 们 再 总 结 一 下 。 

对 于 源 NAT 来 说 : 

。 如 果 NAT 地 址 池 地 址 与 公 网 接口 地 址 不 在 同一 网 段 ， 必 须 配 置 黑 洞 路 由 ; 

。 如 果 NAT 地 址 池 地 址 与 公 网 接口 地 址 在 同一 网 段 ， 建 议 也 配置 黑洞 路 由 。 

对 于 指定 了 特定 协议 和 端口 的 NAT Server 来 说 : 

。 如 果 NAT Server 的 Global 地 址 与 公 网 接口 地 址 不 在 同一 网 段 ， 必 须 配 置 黑洞 路 由 ; 

。 如 果 NAT Server 的 Global 地 址 与 公 网 接口 地 址 在 同一 网 段 ， 建 议 也 配置 黑洞 路 由 。 

除了 防止 路 由 环 路 、 节 省 设备 的 系统 资源 ， 其 实 黑洞 路 由 还 有 一 个 作用 ， 那 就 是 在 
防火 墙 上 引入 到 OSPF 中 ， 发 布 给 路 由 器 。 

我 们 知道 ， 当 NAT 地 址 池 地 址 或 NAT Server 的 Global 地 址 与 防火 墙 和 路 由 器 互联 
接口 的 地 址 不 在 同一 网 段 时 ， 需 要 在 路 由 器 上 配置 到 NAT 地 址 池 地 址 或 NAT Server 的 
Global 地 址 的 静态 路 由 , 保证 路 由 器 可 以 把 去 往 NAT 地 址 池 地 址 或 NAT Server 的 Global 
地 址 的 报 文 发 送 到 防火 墙 。 

如 果 防 火 墙 和 路 由 器 之 间 运 行 OSPF 协议 , 那么 就 可 以 通过 OSPF 协议 来 学 习 路 由 ， 
减少 手动 配置 的 工作 量 。 但 是 NAT 地 址 池 地 址 和 NAT Server 的 Global 地 址 不 同 于 接口 
地 址 ,无 法 在 OSPF 中 通过 network 命令 发 布 出 去 , 那么 路 由 器 如 何 才 能 学 习 到 路 由 呢 ? 

此 时 就 可 以 通过 在 防火 墙 的 OSPF 中 引入 静态 路 由 的 方式 ,把 黑洞 路 由 引入 到 OSPF 
中 , 然后 通过 OSPF 发 布 给 路 由 器 。 这 样 ， 路 由 器 就 知道 了 去 往 NAT 地 址 池 地 址 或 NAT 
Server 的 Global 地 址 的 报 文 都 要 发 送 到 防火 墙 上 注意， 是 发 送 到 防火 墙 ， 而 不 是 发 送 
到 黑洞 路 由 中 )。 

以 NAT Server 的 组 网 为 例 ，NAT Server 的 Global 地 址 和 公 网 接口 地 址 不 在 同一 网 
防火 墙 和 路 由 器 都 运行 OSPF 协议 ， 在 防火 墙 上 的 OSPF 中 引入 静态 路 由 ， 如 下 。 
[FW] ospf 100 

[FW-ospf-100] import-route static 

[FW-ospf-100] area 0.0.0.0 

[FW-ospf-100-area-0.0.0.0] network 202.1.1.0 0.0.0.3 


[FW-ospf-100-area-0.0.0.0] quit 
[FW-ospf-100] quit 


这 时 路 由 器 就 可 以 学 习 到 去 往 NAT Server 的 Global 地 址 的 路 由 。 


[Router] display ip routing-table 
Route Flags: R - relay, D - download to fib 


一 





段 


- 


Destination/Mask ~— Proto Pre Cost Flags NextHop Interface 
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127.0.0.0/8 “Direct D 127.0.0.1 InLoopBack0 





0 0 
127.0.0.1/32 _ Direct 0 0 了 D 127.00:1 InLoopBack0 
202.1.1.0/30 Direct 0 0 D 20112 EthemetO/0/0 
202.1.1.2/32 Direct 0 0 D 127.0.0.1 Ethernet0/0/0 
202.1.1.20/3: SE LS D 1 Ethernet0/0/0 
210.1.1.0/30 Direct 0 0 D21011 Ethernet0/0/1 
210.1.1.1/32 Direct 0 0 D 127.0.0.1 Ethemet0/0/1 


4.6 NAT 地 址 复 用 专利 技术 


提 到 多 对 多 、 多 对 一 的 NAT (多 个 私 网 卫 地址 转换 为 多 个 或 一 个 公 网 卫 地 址 )， 就 
不 能 回避 公 网 IP 地 址 利用 率 的 问题 。“ 华 为 防火 墙 一 个 公 网 IP 地 址 突破 了 65535 端口 限 
制 ， 理 论 上 能 够 无 限制 进行 NAT 转换 ”这 个 结论 在 江湖 上 已 经 广 为 流 传 ， 接 触 过 华为 
防火 墙 的 读者 可 能 早 有 听闻 。 这 正 是 华为 防火 墙 十 年 前 申请 的 一 项 专利 技术 的 应 用 。 


[0 说 明 
这 里 的 65535 泛 指 可 分 配 的 端口 资源 ， 实 际 上 防火 墙 在 分 配 端 口 时 会 保留 一 些 端 口 。 
例如 ，1024 之 内 的 知名 端口 就 会 保留 不 被 分 配 。 


在 “4.1 源 NAT?” 一 节 ， 强 叔 提 到 :“ 防 火 墙 在 进行 NAT 转换 时 就 是 从 NAT 地 址 池 
中 挑选 出 一 个 公 网 下 地 址 ， 然 后 对 私 网 IP 地 址 进行 转换 。 挑 选 哪个 公 网 IP 地 址 是 随机 
的 ， 和 配置 时 的 顺序 、IP 地 址 大 小 等 因素 都 没有 关系 。” 这 其 实 就 是 我 们 看 到 的 外 部 招 
式 ， 而 内 功 心 法 是 不 外 露 的 。 

那么 防火 墙 在 进行 源 NAT 转换 时 , 究竟 是 怎样 从 NAT 地 址 池 中 挑选 出 公 网 他 地 址 
进行 分 配 的 呢 ? 

请 允许 强 叔 引入 HASH 算法 的 概念 ， 这 应 该 是 大 家 常 听 说 的 一 种 广泛 应 用 于 程序 
编写 的 方法 ， 华 为 防火 墙 的 产品 资料 中 也 偶尔 会 提 到 “基于 源 地 址 HASH”。 一句 话 解 
释 ，HASH 算法 的 作用 就 是 把 某 一 任意 长 度 的 信息 进行 压缩 映射 ， 成 为 某 一 固定 长 度 
的 信息 。 

这 里 我 们 可 以 把 公 网 人 P 地 址 分 配 的 过 程 看 成 是 一 次 HASH 的 过 程 ， 私 网 瑟 地 址 对 
应 的 是 任意 长 度 的 信息 ，NAT 地 址 池 中 公 网 IP 地 址 对 应 的 是 固定 长 度 的 信息 。 例 如 ， 
把 3 000 个 私 网 人 P 地 址 映射 成 10 个 公 网 卫 地 址 ， 也 就 是 从 NAT 地 址 池 挑 选 出 公 网 卫 
地 址 资源 进行 分 配 的 过 程 。 

那么 HASH 算法 的 具体 规则 是 什么 呢 ? 在 这 里 ， 我 们 使 用 的 规则 也 比较 简单 ， 即 取 
模 运 算 ， 思 路 如 下 。 

X=NAT 地 址 池 中 公 网 卫 地 址 的 个 数 

Y= 内 部 用 户 的 私 网 IP 地 址 (转换 为 32 位 二 进 制 数值 ) 

将 X、Y 进 制 统 一 ， 使 用 Y/X 的 余数 来 对 应 待 分 配 的 公 网 IP 地 址 资源 ， 余 数 为 0， 
则 选择 NAT 地 址 池 中 的 第 一 个 地 址 ; 余数 为 1， 则 选择 第 二 个 地 址 …… 余 数 不 可 能 大 于 
地 址 池 中 的 地 址 个 数 ， 最 大 的 余数 刚好 对 应 池 址 池 的 最 后 一 个 地 址 。 
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假设 内 部 用 户 的 私 网 地 址 范围 是 10.1.1.1 一 10.1.10.254，NAT 地 址 池 202.169.1.1 一 
202.169.1.5。 我 们 以 10.1.1.1 为 例 来 进行 说 明 ， 根 据 上 面 的 公式 ， 即 

X=5 

Y=10.1.1.1 

将 X 和 Y 的 进 制 统一 ， 将 Y 转换 为 32 位 二 进 制 数 ， 然 后 转换 为 十 进 制 数 ， 即 

10.1.1.1----->00001010 00000001 00000001 00000001----->167837953 

不 用 计算 可 目测 余数 为 3， 则 选择 NAT 地 址 池 的 第 4 个 地 址 即 202.169.1.4。 以 此 类 
推 ， 内 部 用 户 的 私 网 IP 地 址 可 以 全 部 被 分 配 到 NAT 地 址 池 中 的 公 网 IP 地 址 ， 并 且 保 证 
了 每 个 内 部 用 户 每 次 访问 Internet 时 始终 被 转换 为 同一 个 公 网 了 了 地 址 。 

按照 上 述 运算 后 ， 一 部 分 内 部 用 户 就 会 被 分 配 相 同 的 公 网 下 地址。 下 一 步 ， 我 们 来 
研究 下 如 何 分 配 端口 资源 ， 首 先 来 看 一 下 端口 分 配对 会 话 表 的 影响 。 前 面 我 们 介绍 过 
NAPT 方式 建立 的 会 话 表 , 例如 , 内 部 网 络 中 的 用 户 10.1.1.1 和 10.1.1.2 分 别 访问 Internet 
上 的 服务 器 210.1.1.2 和 210.1.1.3， 防 火 墙 上 使 用 公 网 IP 地 址 202.1.1.2 进行 NAT 转换 ， 
查看 会 话 表 如 下 。 


[FW] display firewall session table 
Current Total Sessions : 2 。 
http VPN:public --> public 10.1.1.1:2053[202.1.1.2:2048]-->210.1.1.2:80 
http VPN:public --> public 10.1.1.2:2053[202.1.1.2:2048]-->210.1.1.3:80 


由 于 内 部 网 络 中 不 同 用 户 的 IP 地 址 或 使 用 的 端口 必 不 相同 ， 仅 使 用 “转换 前 源 地 址 
+ 转换 前 源 端口 ”二 元 组 信息 在 防火 墙 上 即 可 标识 一 条 数据 流 ， 来 建立 正 向 的 NAT 地 址 
转换 。 而 防火 墙 在 收 到 回应 报 文 进行 反 向 的 地 址 还 原 时 ， 使 用 “转换 后 源 地 址 + 转换 后 
源 端 口 + 目 的 地 址 + 目的 端口 + 协议 ”五 元 组 信息 唯一 标识 一 条 数据 流 。 

因此 ， 只 要 内 部 网 络 中 不 同 用 户 访问 的 “目的 地 址 + 目的 端口 + 协议 ”三 元 组 中 的 任 一 
参数 不 同时 ， 即 使 将 NAT 地 址 池 中 同一 公 网 IP 地 址 的 同一 端口 同时 分 配给 内 部 网 络 中 
多 个 用 户 时 ， 也 不 会 产生 冲突 。 端 口 可 以 反复 利用 ， 不 受 65 535 个 数 的 限制 ， 如 表 4-5 
所 示 。 







夫 口 分 站 玫 党 梦 


en 1.1 千本 | 目的 由 由 | 目 后 80 
| 101L12 | 80 | 202112 | ?208 | 210113 | 80 | htp 

看 到 这 里 大 家 肯定 会 有 问题 : 在 NAT 地 址 池 中 只 有 一 个 公 网 IP 地 址 的 情况 下 ， 如 
果 内 部 网 络 中 的 用 户 访问 的 “目的 地 址 + 目的 端口 + 协议 ”三 元 组 完全 相同 时 怎么 办 ? 现 
实 可 能 就 是 这 么 残酷 …… 

此 时 不 能 为 内 部 网 络 中 的 用 户 分 配 相 同 的 公 网 PP 地 址 和 端口 ,这 是 因为 一 旦 公 网 全 
地 址 和 端口 完全 相同 ， 被 访问 的 目的 主机 会 发 现 出 现 同 样 的 “ 源 地 址 + 源 端口 ”访问 本 
主机 的 同一 “目的 地 址 + 端口 + 协议 ” 目的 主机 可 能 无 法 正确 回应 甚至 会 判定 为 受到 攻 
击 。 再 者 说 ,“ 转 换 后 源 地 址 + 转换 后 源 端 口 + 目的 地 址 + 目的 端口 + 协议 ”五 元 组 信息 完 
全 相同 ， 防 火 墙 在 进行 反 向 的 地 址 还 原 时 也 无 法 区 分 报 文 属 于 哪 一 条 数据 流 。 

因此 ， 保 证 内 部 网 络 中 的 不 同 用 户 不 能 被 分 配 到 相同 地 址 的 相同 端口 是 关键 ， 这 就 













第 4 章 NAT 131 


要 引入 冲突 检测 机 制 。 这 里 我 们 仍然 使 用 HASH 算法 ， 使 得 在 内 存 占用 合理 情况 下 ， 尽 
可 能 保证 被 分 配 到 相同 公 网 地 址 的 用 户 ， 其 被 分 配 的 端口 尽量 不 一 致 ， 简 化 的 基本 思路 
如 下 。 

Z= 地 址 池 地 址 @ 访问 的 目的 地 址 @ 目的 端口 @ 协议 ( 按 一 定 规则 和 对 应 关系 异 或 运算 ) 

得 到 分 配 的 端口 后 ， 根 据 会 话 表 判断 该 端口 是 否 已 经 被 分 配 。 如 果 检 测 到 端口 已 经 
被 分 配 ， 则 执行 Z++ 和 运算， 重新 分 配 端口 。 

例如 ， 经 过 计算 得 出 待 分 配 的 端口 是 3000， 但 检测 到 3000 端口 已 经 被 使 用 ， 那 么 
在 其 之 上 加 1， 分 配 3001 端口 。 如 果 3001 也 被 占用 ， 继 续 执行 加 1 运算 ， 直 至 找到 未 
使 用 端口 。 

这 样 就 保证 了 不 同 的 内 网 网 络 用 户 访问 的 “目的 地 址 + 目的 端口 + 协议 ”三 元 组 相同 
时 ， 不 会 被 分 配 到 相同 的 地 址 和 端口 。 而 且 ， 会话 表 是 会 实时 老化 的 ， 被 分 配 过 的 端口 
在 会 话 表 老化 后 会 重新 被 利用 ， 因 此 ， 从 概率 上 来 讲 端 口 也 不 会 受到 限制 。 

除非 最 极端 的 情况 发 生 : 超过 65 535 个 内 部 网 络 用 户 ， 在 同一 时 刻 、 向 外 网 同一 目 
的 主机 的 同一 端口 、 采 用 同样 协议 发 起 链接 。 个 过 大 家 觉 不 觉得 这 种 情况 很 面 熟 ， 这 看 
起 来 就 是 发 起 了 传统 而 典型 的 DDoS 攻击 了 吧 。 

好 了 ，NAT 地 址 复 用 技术 揭 密 到 此 ， 大 家 应 该 已 经 了 然 于 胸 了 吧 。 其 实 原 专利 本 身 
是 星 涩 难 懂 的 ， 华 为 防火 墙 也 在 这 么 多 年 的 发 展 中 不 断 演进 ， 强 叔 只 是 对 其 基本 实现 原 
理 进 行 了 简单 解读 。 若 有 对 原 专 利 感 兴趣 的 读者 可 自行 搜索 “CN1567907A 一 种 网 络 地 
址 资源 的 利用 方法 ”。 


强 叔 提问 


1. 源 NAT 技术 中 ，Easy-IP 方式 指 的 是 ? 

2. 三 元 组 NAT 通过 什么 机 制 来 保证 外 网 主机 可 以 主动 访问 内 网 主机 ? 

3. 报 文 匹配 NAT Server 生成 的 Server-map 表 项 后 ， 是 否 还 需要 进行 安全 策略 的 
检查 ? 

4. 当 私 网 用 户 和 私 网 服务 器 处 在 同一 LAN 内 ， 两 者 通过 交换 机 连接 到 防火 墙 的 同 
一 个 接口 上 ， 如 何 保证 私 网 用 户 可 以 通过 公 网 地 址 来 访问 私 网 服务 器 ， 并 且 私 网 用 户 和 
私 网 服务 器 之 间 交 互 的 报 文 都 经 过 防火 墙 的 处 理 ? 

5. 在 NAT 环境 下 User-defined 类 型 的 ASPF 与 三 元 组 NAT 的 主要 区 别 有 哪 些 ? 

6. 配置 源 NAT 时 ， 要 求 同 时 配置 目的 地 址 为 NAT 地 址 池 地 址 的 黑洞 路 由 ， 请 问 这 
里 配置 的 黑洞 路 由 有 哪 两 个 主要 作用 ? 

7. 华为 防火 墙 在 进行 NAT 地 址 转换 时 ， 通 过 什么 方式 来 实现 一 个 公 网 卫 地 址 突破 
65535 端口 的 限制 ? 
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5.1 VPN 技术 简介 


对 于 规模 较 大 的 企业 来 说 ， 网 络 访问 需求 不 仅仅 局 限于 公司 总 部 网 络 ， 分 公司 、 办 
事 处 、 出 差 员 工 、 合 作 单位 也 需要 访问 公司 总 部 的 网 络 资源 ， 大 家 都 知道 这 种 情况 需要 
使 用 VPN (Virtual Private Network， 虚 拟 私 有 网 络 ) 技术 ， 但 选 哪 种 VPN 技术 还 是 挺 有 
讲究 的 ， 下 面 强 叔 就 谈 谈 这 方面 的 心得 。 

VPN 是 指 在 公用 网 络 上 建立 一 个 私有 的 、 专 用 的 虚拟 通信 网 络 ,广泛 应 用 于 企业 网 
络 中 分 支 机 构 和 出 差 员工 连接 公司 总 部 网 络 的 场景 。VPN 网 络 和 VPN 技术 通常 是 如 何 
分 类 的 呢 ? 


5.1.1 VPN 分 类 


1. 根据 建设 单位 不 同 分 类 
这 种 分 类 根据 VPN 网 络 端点 设备 (关键 设备 ) 由 运营 商 提 供 ， 还 是 由 企业 自己 提 
供 来 划分 。 

。 租用 运营 商 VPN 专线 搭建 企业 VPN 网 络 。 如 图 5-1 所 示 ， 主 要 指 租用 运营 商 
MPLS (Multiprotocol Label Switching， 多 协议 标签 交换 ) VPN 专线 ， 比 如 联通 、 
电信 都 提供 MPLS VPN 专线 服务 。 跟 传统 的 租用 传输 专线 如 租用 E1、SDH 
(Synchronous Digital Hierarchy， 同 步 数字 体系 专线 ) 相 比 ，MPLS VPN 专线 的 
优势 主要 在 于 线路 租用 成 本 低 。 









PE CE 


CE: Custom Edge, 用 户 边 缘 设备 
PE: Provider Edge, 运 营 商 边缘 设备 
图 5-1 租用 运营 商 VPN 专线 搭建 企业 VPN 网 络 


。 用 户 自 建 企业 VPN 网 络 。 如 图 5-2 所 示 , 目前 最 常用 的 就 是 基于 Internet 建立 企 
业 VPN 网 络 ， 具 体 技术 包括 GRE、L2TP、IPSec、DSVPN、SSL VPN 等 。 这 种 
方案 企业 只 需要 支付 设备 购买 费用 和 上 网 费用 ， 没有 VPN 专线 租用 费用 ; 另外 
企业 在 网 络 控制 方面 享有 更 多 的 主动 权 、 更 方便 企业 进行 网 络 调整 。 强 叔 要 介绍 
的 正 是 这 类 VPN。 

2. 根据 组 网 方式 不 同 分 类 

。 远程 访问 VPN (Access VPN)。 如 图 5-3 所 示 ， 适 用 于 出 差 员 工 VPN 拨号 接 入 
的 场景 。 员工 可 以 在 任何 能 够 接 入 Internet 的 地 方 , 通过 远程 拨号 接 入 企业 内 网 ， 
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从 而 访问 内 网 资源 。 





出 差 员 工 
图 5-2 用 户 自 建 企 业 VPN 网 络 





图 5-3 远程 访问 VPN 


局 域 网 到 局 域 网 的 VPN (site-to-site VPN)。 如 图 5-4 所 示 , 适用 于 公司 两 个 异地 
机 构 的 局 域 网 互 连 。 





图 5-4 ”局域网 到 局 域 网 的 VPN 


.根据 应 用 对 象 不 同 分 类 


AccessVPN (远程 访问 )。 面 向 出 差 员 工 ， 允 许 出 差 员 工 跨越 公用 网 络 远程 接 入 
公司 内 部 网 络 。 

Intranet VPN (企业 内 部 虚拟 专 网 )。Intranet VPN 通过 公用 网 络 进行 企业 内 部 各 
个 网 络 的 互 连 。 

Extranet VPN〔 扩 展 的 企业 内 部 虚拟 专 网 )。Extranet VPN 利用 VPN 将 企业 网 延 
伸 至 合作 伙伴 处 ， 使 不 同 企业 间 通 过 Internet 来 构筑 VPN。Intranet VPN 和 
Extranet VPN 的 不 同 点 主要 在 于 访问 公司 总 部 网 络 资源 的 权限 有 区 别 。 


如 图 5-5 所 示 ， 不 同 的 应 用 对 象 如 分 支 机 构 、 合 作 伙 伴 和 出 差 员工 会 通过 不 同类 型 
的 VPN 接 入 公司 总 部 。 


4. 


按照 VPN 技术 实现 的 网 络 层 次 进行 分 类 

基于 数据 链 路 层 的 VPN: L2TP、L2F、PPTP。 其 中 L2F 和 PPTP 已 经 基本 上 被 
L2TP 替代 了 ， 本 章 就 不 再 关注 这 两 种 技术 了 。 

基于 网 络 层 的 VPN: GRE、IPSec、DSVPN 

基于 应 用 层 的 VPN: SSL 


136 华为 防火 墙 技术 漫谈 


Intranet VPN 





Extranet VPN 


Access VPN 
图 5-5 ”远程 访问 VPN/ Intranet VPN/ Extranet VPN 


5.1.2 VPN 的 关键 技术 


基于 Internet 的 VPN 技术 有 一 个 共同 点 就 是 必须 解决 VPN 网 络 的 安全 问题 。 
。 出 差 员工 的 地 理 接 入 位 置 不 固定 ， 其 所 处 位 置 往往 不 受 企业 信息 安全 措施 的 保 
护 ， 所 以 需要 对 出 差 员 工 进行 严格 的 接 入 认证 ， 这 就 涉及 身份 认证 技术 。 同 时 ， 
还 要 对 出 差 员 工 可 以 访问 的 资源 和 权限 进行 精确 控制 。 
。 合作 伙伴 需要 根据 业务 开展 的 情况 ,灵活 进行 授权 ,限制 合作 伙伴 可 以 访问 的 网 
络 范 围 、 可 以 传输 的 数据 类 型 。 此 时 推荐 对 合作 伙伴 进行 身份 认证 ， 认 证 通过 后 
可 以 使 用 安全 策略 对 合作 伙伴 的 权限 进行 限制 。 
。 另外 分 支 机 构 、 合 作 伙伴 和 出 差 用 户 与 公司 总 部 之 间 的 数据 传输 都 必须 是 安全 
的 。 这 一 过 程 涉及 数据 加 密 和 数据 验证 技术 。 
下 面 简单 讲解 一 下 VPN 解决 以 上 问题 用 到 的 几 个 关键 技术 点 。 
1， 隧 道 技 术 
隧道 技术 是 VPN 的 基本 技术 ， 类 似 于 点 到 点 连接 技术 。 如 图 5-6 所 示 ，VPN 网 关 1 
收 到 原始 报 文 后 ， 将 报 文 “封装 ”% 然后 通过 Internet 传输 到 VPN 网 关 2。VPN 网 关 2 
再 对 报 文 进行 “ 解 封装 ” 最 终 得 到 原始 报 文 。 





图 5-6 ”隧道 技术 示意 图 


“封装 / 解 封装 ”过 程 本 身 就 可 以 为 原始 报 文 提 供 安 全 防护 功能 ， 所 以 被 封装 的 报 文 
在 Internet 上 传输 时 所 经 过 的 逻辑 路 径 被 称 为 “隧道 ”。 不 同 的 VPN 技术 封装 / 解 封装 的 
过 程 完全 不 同 ， 具 体 封装 过 程 在 每 种 VPN 技术 中 详细 介绍 。 
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2. 身份 认证 技术 
身份 认证 技术 主要 用 于 移动 办 公用 户 远程 接 入 的 情况 。 总 部 的 VPN 网 关 对 用 户 的 
身份 进行 认证 ， 确 保 接 入 内 部 网 络 的 用 户 是 合法 用 户 ， 而 非 恶 意 用 户 。 
不 同 的 VPN 技术 能 提供 的 用 户 身份 认证 方法 不 同 ， 如 下 所 示 。 
。 GRE: 不 支持 针对 用 户 的 身份 认证 技术 。 
。 L2TP: 依赖 PPP 提供 的 认证 〈 如 CHAP、PAP、EAP)。 对 接 入 用 户 进行 认证 时 ， 
可 以 使 用 本 地 认证 方式 也 可 以 使 用 第 三 方 RADIUS 服务 器 来 认证 。 认 证 通过 以 
后 会 给 用 户 分 配 内 部 的 他 地址 ， 通 过 此 IP 地 址 对 用 户 进行 授权 和 管理 。 
。 IPSec: 使 用 I 区 Ev2 时 ,支持 对 用 户 进行 EAP 认证 。 认证 时 可 以 使 用 本 地 认证 方 
式 也 可 以 使 用 第 三 方 RADIUS 服务 器 来 认证 。 认 证 通过 以 后 会 给 用 户 分 配 内 部 
的 全 地 址 ， 通 过 此 IP 地 址 对 用 户 进行 授权 和 管理 。 
。 DSVPN: 不 支持 针对 用 户 的 身份 认证 技术 。 
。 SSL VPN: 对 接 入 用 户 进 行 认证 时 ， 支持 本 地 认证 、 证 书 认 证 和 服务 器 认证 。 男 
外 ， 接 入 用 户 也 可 以 对 SSL VPN 服务 器 进行 身份 认证 , 确认 SSL VPN 服务 器 的 
合法 性 。 
3. 加 密 技 术 
加 密 就 是 把 明文 变 成 密 文 的 过 程 ， 如 图 5-7 所 示 ， 这 样 即便 黑客 截获 了 报 文 也 无 法 
知道 其 真实 含义 。 加 密 对 象 有 数据 报 文 和 协议 报 文 之 分 ， 能 够 实现 协议 报 文 和 数据 报 文 
都 加 密 的 协议 安全 系数 更 高 。 








明文 
Wa 
b2 lh 加 密 we ;和 半 文 
密 广 : I A 
: 
' 明文 


5-7 ”数据 加 密 示意 图 


。 GRE 和 L2TP 协议 本 身 不 提供 加 密 技 术 ， 所 以 通常 结合 IPSec 协议 一 起 使 用 ， 依 

赖 IPSec 的 加 密 技 术 。 

IPSec: 支持 对 数据 报 文 和 协议 报 文 进 行 加 密 。 

DSVPN: 配置 IPSec 安全 框架 后 ， 支 持 对 数据 报 文 和 协议 报 文 进行 加 密 。 

SSL VPN: 支持 对 数据 报 文 和 协议 报 文 加 密 。 
.数据 验证 技术 

数据 验证 技术 就 是 对 报 文 的 真 伪 进 行 检查 ， 丢 弃 伪 造 的 、 被 算 改 的 报 文 。 那 么 验证 

是 如 何 实现 的 呢 ? 它 采 用 一 种 称 为 “摘要 ”的 技术 ， 如 图 5-8 所 示 〔 图 中 只 给 出 了 验证 


信 © @ 9 
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的 过 程 ， 通 常情 况 下 验证 和 加 密会 一 起 使 用 )。“ 摘 要 ”技术 主要 采用 HASH 函数 将 一 段 
长 的 报 文通 过 函数 变换 ， 映 射 为 一 段 短 的 报 文 。 在 收发 两 端 都 对 报 文 进行 验证 ， 只 有 摘 
要 一 致 的 报 文才 被 接收 。 





图 5-8 数据 验证 示意 图 


。 GRE: 本 身 只 提供 简单 的 校 验 和 验证 和 关键 字 验 证 , 但 可 结合 IPSec 协议 一 起 使 
用 ， 使 用 IPSec 的 数据 验证 技术 。 

。 L2TP: 本 身 不 提供 数据 验证 技术 ， 但 可 结合 IPSec 协议 一 起 使 用 ， 使 用 IPSec 

e。 IPSec: 支持 对 数据 进行 完整 性 验证 和 数据 源 验证 。 

。 DSVPN: 配置 IPSec 安全 框架 后 ， 支持 对 数据 进行 完整 性 验证 和 数据 源 验证 。 

。 SSL VPN: 支持 对 数据 进行 完整 性 验证 和 数据 源 验证 。 


5.1.3 ”总 结 


下 面 总 结 一 下 GRE、L2TP、IPSec 和 SSL VPN 常用 的 安全 技术 和 适用 场景 ， 如 
表 5-1 所 示 。 
表 5-1 常用 VEN 蚂 芝 到 对 | 








rr 
验证 、 校 验 和 验证 





GRE 


| 


AccessVPN | 支持 基于 PPP 的 CHAP、 PAP、 










Access VPN 
支持 预 共 享 密 钥 或 证 书 认 
IP 层 及 以 上 数据 | Intranet VPN 证 ; 支持 代 Ev2 的 EAP 认证 支持 
Extranet VPN 
| VPN 配置 PSec 安全 
DSVPN | 下 层 及 加 层 及 以 上 数据 a Re | 框架 后 支持 





应 用 层 特定 数据 支持 用 户 名 /密码 或 证 书 认证 


本 节 简 单 地 介绍 了 一 下 VPN, 仅 了 解 这 些 皮毛 是 不 够 的 ,下面 我 们 就 来 详细 介绍 每 
种 VPN 技术 的 应 用 、 配 置 和 原理 。 


SSL VPN 
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5.2 GRE 


要 说 起 这 个 GRE， 我 们 还 得 把 时 间 的 镜头 拉 回 到 20 年 前 ， 回 顾 一 下 当年 发 生 的 故 
事 。 在 那个 年 代 ，Internet 已 经 开始 快速 发 展 ， 越 来 越 多 的 资源 被 网 络 所 连接 ， 从 而 使 人 
们 的 联系 更 为 便捷 ， 这 本 是 一 件 皆 大 欢喜 的 事情 。 然 而 看 似 和 谐 的 网 络 世 界 ， 也 充斥 着 
各 种 不 地 。 有 时 就 像 人 生 ， 欢 乐 大 抵 相 似 ， 痛 苦 各 有 不 同 。 被 Internet 互联 以 后 的 私有 
网 络 就 面临 着 以 下 几 个 痛苦 。 

。 私有 卫 网 络 之 间 无 法 直接 通过 Internet 互通 。 

这 个 不 用 多 说 ， 私 有 网 络 中 使 用 的 都 是 私有 地 址 ， 而 在 Internet 上 传输 的 报 文 必 须 
使 用 公 网 地 址 ， 如 图 5-9 所 示 。 





图 5-9 私有 了 P 网 络 之 间 无 法 直接 通过 Internet 互通 


。 异种 网 络 (IPX、AppleTalk) 之 间 无 法 通过 Internet 直接 进行 通信 。 
这 个 痛苦 是 由 先天 缺陷 造成 的 ，IPX 和 IP 本 就 不 是 同一 种 网 络 协议 ， 因 此 IP 网 络 
不 转发 I PX 报 文 ， 这 倒 也 情 有 可 原 ， 如 图 5-10 所 示 。 





5-10 ”异种 网 络 (IPX、AppleTalk) 之 间 无 法 通过 Internet 直接 进行 通信 


或 许 翡 催 的 故事 还 有 很 多 ， 强 叔 在 此 就 不 一 一 列举 了 。 总 之 ， 当 各 种 痛苦 交织 、 汇 
聚 在 一 起 之 后 ， 形 成 了 一 股 强大 的 推动 力 ， 迫 使 网 络 工 程 师 们 绞 尽 脑汁 的 寻求 一 种 解决 
之 道 ， 终 于 在 1994 年 GRE 协议 问世 了 ， 它 的 RFC 编号 为 RFC1701 和 RFC1702。 

GRE (General Routing Encapsulation) 即 通用 路 由 封装 协议 ， 它 的 出 现 使 得 上 面 的 
那些 悲情 故事 在 今天 不 再 重演 。 大 家 肯定 就 要 问 了 ，GRE 到 底 是 用 了 什么 方法 能 够 一 一 
化 解 上 述 难 题 ? 其 实说 穿 了 也 很 简单 ，GRE 用 的 就 是 当下 流行 的 “马甲 ”技术 。 既 然 私 
有 网 络 发 出 的 报 文 由 于 种 种 原因 不 能 在 Internet 上 进行 传输 ， 那 何不 给 这 些 报 文 穿 上 
Internet 能 够 识别 的 “马甲 ” 然后 在 Internet 上 传输 。 反 正 对 于 Internet 而 言 ， 它 是 只 认 
“马甲 ”不 认 人 。 这 种 “马甲 ”技术 在 网 络 中 的 专用 术语 就 是 “封装 ”。 


5.2.1 GRE 的 封装 / 解 封装 
但 凡 一 种 网 络 封装 技术 ， 其 基本 的 构成 要 素 都 可 以 分 为 三 个 部 分 : 乘客 协议 、 封 装 
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协议 、 运 输 协议 ，GRE 也 不 例外 。 为 了 便于 理解 封装 技术 ， 我 们 用 邮政 系统 打 个 比方 。 

。 乘客 协议 

乘客 协议 就 是 我 们 写 的 信 ， 信 的 语言 可 以 是 汉语 、 英 语 、 法 语 等 ， 具 体 的 内 容 由 写 
信人 、 读 信人 自己 负责 。 

。 封装 协议 

封装 协议 可 以 理解 为 信封 ,可 以 是 平 信 、 挂 号 或 者 是 EMS。 不同 的 信封 就 对 应 于 多 
种 封装 协议 。 

。 运输 协议 

运输 协议 就 是 信 的 运输 方式 ， 可 以 是 陆运 、 海 运 或 者 空运 。 不 同 的 运输 方式 就 对 应 
于 多 种 运输 协议 。 

理解 了 上 面 的 比喻 之 后 , 我 们 再 来 看 看 GRE 中 都 用 到 了 哪些 协议 ， 如 图 5-11 所 示 。 

从 图 中 我 们 可 以 很 清晰 地 看 到 , GRE 能 够 承载 的 协议 包括 人 P 协议 和 IPX 协议 , GRE 
所 使 用 的 运输 协议 是 卫 协议 。 

了 解 GRE 的 基本 概念 后 ， 下 面 我 们 来 看 一 下 GRE 的 封装 原理 。 如 图 5-12 所 示 ， 这 
里 的 乘客 协议 我 们 以 卫 协议 为 例 ， 最 终 的 封装 效果 就 是 IP 报 文 封装 IP 报 文 。 








加 乘客 协议 


人 封装 协议 
人 本 运输 协议 





图 5-11 GRE 的 协议 栈 图 5-12 ”GRE 报 文 封装 


GRE 的 封装 过 程 可 以 细 分 成 两 步 ， 第 一 步 是 在 私 网 的 原始 报 文 前 面 添加 GRE 头 ， 
第 二 步 是 在 GRE 头 前 面 再 加 上 新 的 卫 头 ， 新 卫 头 中 的 下 地 址 为 公 网 地 址 。 加 上 新 的 
IP 头 以 后 , 就 意味 着 这 个 私有 网 络 的 报 文 经 过 层 层 封装 以 后 就 可 以 在 Internet 上 传输 了 。 

在 防火 墙 上 ， 封 装 操作 是 通过 一 个 逻辑 接口 来 实现 的 ， 这 个 逻辑 接口 就 是 鼎鼎 有 名 
的 Tunnel 接口 。Tunnel 即 隧道 ， 从 名 字 就 可 以 看 出 来 这 个 逻辑 接口 就 是 为 隧道 而 生 。 
Tunnel 接口 上 带 有 新 IP 头 的 源 地 址 和 目的 地 址 信息 ， 报 文 进入 Tunnel 接口 后 ， 防 火 墙 
就 会 为 报 文 封装 GRE 头 和 新 的 卫 头 。 

那么 防火 墙 是 如 何 把 报 文 送 到 Tunnel 接口 的 呢 ? 这 就 要 通过 路 由 来 实现 了 , 防火 墙 
支持 如 下 两 种 方式 。 

。 静态 路 由 

在 GRE 隧道 两 端的 防火 墙 上 配置 去 往 对 端 私 网 网 段 的 静态 路 由 ， 下 一 跳 设置 为 本 
端 Tunnel 接口 的 人 PP 地址， 出 接口 为 本 端 Tunnel 接口 。 

。 动态 路 由 

在 GRE 隧道 两 端的 防火 墙 上 配置 动态 路 由 如 OSPF, 将 私 网 网 段 和 Tunnel 接口 的 地 
址 发 布 出 去 ， 两 端 防火 墙 都 会 学 习 到 去 往 对 端 私 网 网 段 的 路 由 ， 下 一 跳 为 对 端 Tunnel 
接口 的 卫 地 址 ， 出 接口 为 本 端 Tunnel 接口 。 
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无 论 使 用 哪 种 路 由 ， 最 终 的 目的 都 是 在 防火 墙 的 路 由 表 中 生成 去 往 对 端 私 网 网 段 的 
路 由 ， 通 过 这 条 路 由 来 引导 报 文 进入 Tunnel 接口 进行 封装 。 
5-13 给 出 了 防火 墙 对 私 网 报 文 进行 加 封装 、 解 封装 ， 以 及 转发 的 过 程 。 
FW_A FW_B 


公 网 了 耻 : 1.1.1.1 公 网 IP: 2.2.2.2 
Tunnel IP: 10.1.1.1 Tunnel IP: 10.1.1.2 心口 

















[CE 





5-13 ”GRE 报 文 转发 过 程 


PC _A 通过 GRE 隧道 访问 PC B 时 ，FW_A 和 FW_B 上 的 报 文 转发 过 程 如 下 。 

(1) PC _A 访问 PC_B 的 原始 报 文 进入 FW_A 后 ， 首 先 匹 配 路 由 表 。 

(2) 根据 路 由 查找 结果 ，FW_A 将 报 文 送 到 Tunnel 接口 进行 GRE 封装 ， 增 加 GRE 
头 、 外 层 新 全 头 。 

(3) FW_A 根据 封装 后 报 文 的 新 卫 头 的 目的 地 址 ， 再 次 查找 路 由 表 。 

(4) FW_A 根据 路 由 查找 结果 将 报 文 发 送 至 FW_B， 图 中 假设 FW_A 查找 到 的 去 往 
FW_B 的 下 一 跳 地 址 是 1.1.1.2。 

(5) FW_B 收 到 报 文 后 ， 首 先 判 断 这 个 报 文 是 不 是 GRE 报 文 。 

怎么 判断 呢 ? 从 封装 过 程 中 我 们 可 以 看 到 封装 后 的 GRE 报 文 会 有 个 新 的 耻 头 ， 这 
个 新 的 卫 头 中 包含 Protocol 字段 ， 字 段 中 标识 了 内 层 协议 类 型 ， 如 果 这 个 Protocol 字段 
值 是 47， 就 表示 这 个 报 文 是 GRE 报 文 。 

(6) 如 果 FW_B 收 到 的 报 文 是 GRE 报 文 ， 则 报 文 将 被 送 到 Tunnel 接口 解 封装 ， 去 
掉 外 层 IP 头 、GRE 头 ， 恢 复 为 原始 报 文 。 

(7) FW_B 根据 原始 报 文 的 目的 地 址 再 次 查找 路 由 表 ， 然 后 根据 路 由 匹配 结果 将 报 
文 发 送 至 PC_B。 

这 就 是 防火 墙 对 私 网 报 文 进行 GRE 封装 / 解 封装 和 转发 的 全 过 程 ， 很 简单 吧 ! 


5.2.2 ”配置 GRE 基本 参数 


上 面 我 们 从 原理 角度 介绍 了 私 网 报 文 进入 隧道 、 加 封装 、 解 封装 的 过 程 。 想 必 大 家 
更 想 知道 的 是 在 防火 墙 上 怎么 配置 GRE 隧道 呢 ? 下 面 我 们 就 结合 图 5-14 来 讲 讲 GRE 隧 
道 的 配置 方法 。 
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! Tunnell 
1 10.1.1.2/24 


Tunnell 
10.1.1.1/24 ! 













GE0/0/2 
1.1.1.1/24 


GEO0/0/2 
2.2.2.2/24 


图 5-14 ”GRE VPN 组 网 图 
GRE 隧道 的 配置 也 很 简单 ， 可 以 分 为 两 个 步骤 。 
1. 配置 Tunnel 接口 
在 FW_A 上 配置 Tunnel 接口 的 封装 参数 。 


[FW_Al] interface Tunnel 1 

[FW_A-Tunnell] ip address 10.1.1.1 24 

[FW_A-Tunnell] tunnel-protocol gre 

_A-Tunnell] source L111 

[FW_A-Tunnell] destination 2.2.2.2 

[FW_A-Tunnel]] quit 

在 FW_A 上 将 Tunnel 接口 加 入 安全 区 域 。Tunnel 接口 可 以 加 入 到 任意 一 个 安全 区 
域 中 ， 这 里 我 们 把 Tunnel 接口 加 入 到 了 DMZ 区 域 。 

[FW_Al] firewall zone dmz 


[FW_A-zone-dmz] add interface Tunnel 1 
[FW_A-zone-dmz] quit 


在 FW_B 上 配置 Tunnel 接口 的 封装 参数 。 


[FW_B] interface Tannel 1 
[FW_B-Tunnell] ip address 10.1.1.2 24 
[FW_B-Tunnell] tunnel-protocol gre 
[FW._ B-Tunnell] source 2.2.2.2 
[FW_B-Tunnell] destination 1.1.1.1 
[FW_B-Tunnell] quit 


在 FW_B 上 将 Tunnel 接口 加 入 安全 区 域 。 同样 , 我 们 把 Tunnel 接口 加 入 到 了 DMZ 区 域 。 

[FW_B] firewall zone dmz 

[FW_B-zone-dmz] add interface Tunnel 1 

[FW_B-zone-dmz] quit 

配置 Tunnel 接口 封装 参数 时 ， 我 们 首先 设置 Tunnel 接口 的 封装 类 型 为 GRE， 然 后 
指定 GRE 隧道 的 源 和 目的 地 址 .看 上 去 步骤 非常 简单 ,但 这 几 步 对 Tunnel 接口 完成 GRE 
” 报 文 封装 起 了 决定 性 作用 。 

。 首先 明确 Tunnel 接口 要 封装 GRE 头 。 

。 然后 明确 新 IP 头 中 的 源 和 目的 地 址 , 实际 上 就 是 GRE 隧道 两 端 防火 墙 公 网 接口 

的 卫 地 址 。 

这 两 点 和 GRE 报 文 封 装 的 原理 是 一 致 的 , 比较 容易 理解 。 可 能 大 家 更 容易 对 Tunnel 
接口 本 身 的 属性 产生 疑问 。 

。 Tunnel 接口 的 了 P 地 址 是 否 必须 配置 ? 

。 隧道 两 端 防火 墙 上 Tunnel 接口 的 IP 地 址 是 否 有 所 关联 ? 


第 5 章 GRE&L2TP VPN 143 


。 Tunnel 接口 使 用 的 是 公 网 IP 地 址 还 是 私 网 人 P 地址? 

首先 ，Tunnel 接口 的 IP 地 址 必须 配置 ， 如 果 不 配置 IP 地址，Tunnel 接口 就 无 法 为 
UP 状态 。 其 次 ， 从 GRE 的 封装 过 程 来 看 ，Tunnel 接口 的 IP 地 址 并 没有 参与 报 文 封装 ， 
所 以 隧道 两 端 防火 墙 上 Tunnel 接口 的 人 地 址 没有 任何 关联 ， 可 以 各 配 各 的 。 最 后 ， 既 然 
Tunnel 接口 不 参与 封装 ， 所 以 也 就 没有 必要 用 公 网 地 址 了 ， 配 置 成 私 网 卫 地 址 就 可 以 了 。 

2. 配置 路 由 ， 把 需要 进行 GRE 封装 的 报 文 引导 至 Tunnel 接口 

前 面 我 们 讲 过 , 防火 墙 支持 静态 路 由 和 动态 路 由 两 种 方式 , 两 种 方式 可 以 任 选 其 一 。 

(1) 静态 路 由 

在 FW_A 上 配置 静态 路 由 ， 将 去 往 总 部 私 网 的 路 由 的 下 一 跳 设置 为 Tunnel 接口 。 


[FW_Al] ip route-static 192.168.2.0 24 Tunnel 1 


在 FW_B 上 配置 静态 路 由 , 将 去 往 分 支 机构 私 网 的 路 由 的 下 一 跳 设 置 为 Tunnel 接 口 。 

[FW._ B] ip route-static 192.168.1.0 24 Tunnel 1 

(2) 动态 路 由 

在 FW_A 上 配置 OSPF， 在 OSPF 中 将 分 支 机 构 的 私 网 和 Tunnel 接口 所 在 的 网 段 发 
布 出 去 。 

[FW_A] ospf 1 

[FW_A-ospf-1] area 0 


[FW_A-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255 
[FW_A-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255 


在 FW_B 上 配置 OSPF, 在 OSPF 中 将 总 部 的 私 网 和 Tunnel 接口 所 在 的 网 自发 布 出 去 。 


[FW_B] ospf 1 
[FW B-ospf-l] area 0 
[FW_B-ospf-1-area-0.0.0.0] network 192 .168.2.0 0. 0.0255 
[FW_B-:ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255 | 


配置 完成 后 ，FW_A 和 FW_B 上 就 会 学 习 到 去 往 对 端 私 网 网 段 的 路 由 。 

有 一 点 需要 注意 , 使 用 OSPF 动态 路 由 方式 时 , 如果 GRE 隧道 对 应 的 公 网 接口 也 使 
用 OSPF 发 布 路 由 ， 那 我 们 就 需要 用 一 个 新 的 OSPF 进程 来 发 布 私 网 网 段 和 Tunnel 接口 
所 在 网 段 了 ， 以 免 私 网 报 文 直接 通过 公 网 接口 转发 ， 而 不 是 通过 GRE 隧道 转发 。 


5.2.3 ”配置 GRE 安全 机 制 


大 家 可 能 会 有 担忧 ， 如 果 Internet 上 的 恶意 用 户 伪装 成 FW_A 向 FW_B 发 送 GRE 
报 文 ， 那 伪装 者 不 就 可 以 访问 FW_B 中 的 资源 了 吗 ，FW_A 和 FW_B 在 建立 GRE 隧道 
时 ， 如 何 做 到 互信 的 呢 ? 下 面 我 们 讲 一 下 GRE 的 安全 机 制 。 

1. 关键 字 验 证 

防火 墙 上 配置 了 GRE 隧道 后 ， 并 不 是 说 防火 墙 会 对 收 到 的 所 有 GRE 报 文 都 进行 处 
理 。 防 火 墙 只 处 理 与 自身 建立 GRE 隧道 的 对 端 设 备 发 送 过 来 的 GRE 报 文 ，GRE 头 中 的 
“Key” 字 段 就 是 来 实现 这 一 功能 的 。 

防火 墙 在 为 报 文 封装 GRE 头 时 , 将 GRE 头 中 的 Key 位 的 值 置 1, 并 在 GRE 头 中 插 
入 Key 字段 。 两 台 防 火 墙 在 建立 隧道 时 ， 通 过 Key 字段 的 值 来 验证 对 端的 身份 ， 只 有 两 
端 设置 的 Key 字段 的 值 完 全 一 致 时 才能 建立 隧道 。 
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下 图 展示 了 GRE 头 中 的 信息 ， 其 中 Key 位 为 1 表示 启用 了 关键 字 验 证 功能 ， 下 面 
的 “Key: 0x00003039” 是 关键 字 的 值 ， 转 换 为 十 进 制 就 是 12345 。 








人 
i outing Encapsulation 《ITP) 
Sr and Version: 

ed Bit: NO 
we .= Routing Bit: NO 
0 .= 一 Sequence Number Bit: NO 
so Oss .= Strict Source Route Bit: NO 
Fo A000 vos ssss = Recursion control: 0 


wld. oo mi 0000 0... = Fiags (Reserved): 0 
症 抽 二 克 ， 下 时 机 后 “看 本 二 二 .000 = Version: GRE (0) 
Protrocol Type: IP (0x0800) 


Key: Ox00003039 
田 TIEernet protocol, sre: eh Dst: ep er 
EB Interner Contro]l Message Pr 


配置 关键 字 验 证 的 步骤 很 简单 ， 唯 一 需要 注意 的 是 ， 隧 道 两 端 防火 墙 上 设置 的 关键 
字 必 须 相 同 。 

在 FW_A 上 设置 关键 字 为 12345: 

[FW_A-Tunnell] gre key 12345 

同时 ， 在 FW_B 上 设置 关键 字 为 12345: 

[FW_B-Tunnell] gre key 12345 

2. 校 验 和 验证 

虽然 GRE 隧道 两 端的 防火 墙 实 现 了 互信 ,但 是 如 果 报 文 在 Internet 传输 途中 也 可 能 
被 恶意 用 户 算 改 ， 如 何 保证 报 文 在 传输 时 的 完整 性 呢 ?” 这 里 又 用 到 GRE 头 中 的 
“Checksum ”字段 。 

防火 墙 在 为 报 文 封装 GRE 头 时 , 将 GRE 头 中 的 Checksum 位 的 值 置 1, 然后 根据 报 
文 的 信息 计算 校 验 和 ， 并 将 校 验 和 填 到 Checksum 字段 中 。 当 隧道 对 端 收 到 该 报 文 时 ， 
也 会 根据 报 文 信息 计算 校 验 和 ,并 与 报 文中 携带 的 校 验 和 进行 比较 , 如 果 校 验 结果 一 致 ， 
则 接受 此 报 文 ， 如 果 不 一 致 ， 则 丢弃 此 报 文 。 

校 验 和 验证 功能 是 单 向 的 ， 对 端 防火 墙 是 否 开 启 不 影响 本 端的 校 验 和 验证 功能 。 实 
际 环境 中 ， 建 议 在 隧道 两 端 防火 墙 上 同时 开启 。 

下 图 中 GRE 头 的 Checksum 位 为 1， 表 示 启 用 了 校 验 和 验证 功能 ， 下 面 的 “Checksum: 
0x8f8d” 是 校 验 和 的 值 。 


Frame 10:; 106 bytes on wire (848 bits), 106 bytes captured (848 bits) 2 
Ethernert II, Src: 00:00:00_2b:b8:02 (00:00:00:2b:b8:02), Dst: HuaweiTe_87:22:a4 (54:89:98:87:22:a4) 
用 Internet protrocol, Src: 1.1.1.1 (1.1.1.1), Ost: 2.2.2.2 (2.2.2.2) > 3 

i c Routing Encapsulation Cp) 

EB PE and Version: 0xa000 
s := Checksum Bit: Yes 
2 -= Routing Bit: NO 
ves ose asus mee. MO Va 
, .0 = Sequence Number Bit: NO 
...。0...-..-....-. = Strict Source Route Bit: NO 
vees M00 sss. <。 = Recursion control: 0 
Po aad 0000 0... = Flags (Reserved): 0 
Ri i a i .000 = Version: GRE (0) 
Prortocol Type: ITP (Ox0800) 
[correct] 
offset: 38968 
Key: Ox00003039 
m Internet protrocol, Src: OA Dst: 192.168.2:2 se 
Internet Control Message Pr 


配置 校 验 和 验证 的 步骤 也 很 简单 ， 在 FW_A 上 开启 校 只 和 蛤 证 


[FW_A-Tunnell] gre checksum 
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在 FW_B 上 开启 校 验 和 验证 : 
[FW_B-Tunnell] gre checksum 

3. Keepalive 

GRE 的 安全 机 制 可 以 实现 隧道 两 端 防火 墙 的 互信 ， 并 保证 报 文 传 输 的 完整 性 。 但 是 
这 里 还 有 一 个 问题 ， 如 果 隧 道 对 端 出 现 故 障 时 ， 隧 道 本 端 如 何 感 知 呢 ? 

GRE 隧道 是 一 种 无 状态 类 型 的 隧道 , 所 谓 的 无 状态 类 型 是 指 隧道 本 端 并 不 维护 与 对 
端的 状态 。 换 句 话 说 假如 隧道 对 端 出 现 故障 ， 那 隧道 本 端 是 感受 不 到 的 。 为 了 解决 这 个 
问题 ，GRE 隧道 提供 了 Keepalive 保 活 机 制 。 

如 图 5-15 所 示 , 在 FW_A 上 开启 Keepalive 功能 后 ，FW _A 会 周期 性 的 向 FW_B 发 
送 探测 报 文 ， 以 检测 隧道 对 端 状态 。 如 果 FW _B 可 达 , 则 FW_A 会 收 到 FW_B 的 回应 报 文 ， 
此 时 FW_A 会 保持 隧道 的 正常 状态 ; 如 果 FW_A 收 不 到 FW_B 的 回应 报 文 , 说 明 FW_B 不 
可 达 ， 则 FW_A 会 将 隧道 关闭 。 这 样 就 避免 了 因 隧 道 对 端 不 可 达 而 造成 的 数据 黑洞 。 


FW_A FW_B 





用 其 光 二 .二 


Keepalive 报 文 1 


di 


未 收 到 回应 报 文 ， 关 闭 卫 过 | C 关 有 


图 5-15 ”GRE Keepalive 功能 


Keepalive 功能 是 单 向 的 , 对 端 是 否 开启 Keepalive 功能 不 影响 本 端的 Keepalive 功能 。 
实际 环境 中 ， 建 议 在 隧道 两 端 防火 墙 上 同时 开启 。 

下 面 给 出 开启 Keepalive 功能 的 命令 ， 在 FW_A 上 开启 Keepalive 功能 : 

[FW_A-Tunnell] keepalive 

在 FW_B 上 开启 Keepalive 功能 : 

[FW_B-Tunnell] keepalive : 

介绍 到 这 里 ， 大 家 是 不 是 觉得 有 了 GRE 隧道 就 万 事 大 吉 了 呢 ， 其 实 不 然 。GRE 隧 
道 自 身 有 个 缺陷 : 不 带 有 安全 加 密 功 能 。 没有 加 密 功 能 的 -GRE 报 文 ， 只 能 说 是 穿 了 个 透 
明 的 马甲 ， 隧 道中 的 报 文 都 是 明文 传输 。 所 以 我 们 在 实际 使 用 时 ， 很 少 单纯 使 用 GRE， 
而 是 经 常会 把 GRE 与 IPSec 一 同 使 用 。 由 于 IPSec 技术 具备 很 强 的 加 密 功 能 ， 就 解决 了 
GRE 的 安全 性 问题 。 这 也 就 是 我 们 后 面 要 介绍 的 GRE over IPSec 技术 。 


5.2.4 ”安全 策略 配置 思路 
在 “第 2 章 安全 策略 ”中 ， 我 们 讲 到 “经 过 防火 墙 转发 的 数据 流 ， 以 及 防火 墙 本 
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身 与 外 界 互 访 的 数据 流 同 样 受 安全 策略 的 控制 ” 那么 在 GRE 中 我 们 用 到 了 哪些 接口 、 
哪些 安全 区 域 ， 安 全 策略 该 如 何 配置 呢 ? 由 于 Tunnel 接口 的 出 现 ，GRE 的 安全 策略 的 
配置 变 得 有 点 扑朔迷离 。 没 关系 ， 强 叔 有 一 套 百 试 不 大 的 方法 帮 你 搞定 ! 

如 图 5-16 所 示 , 我 们 假设 在 FW_A 和 FW_B 上 , GE0/0/1 接口 连接 私 网 , 属于 Trust 
区 域 ，GE0/0/2 接口 连接 Internet， 属 于 Untrust 区 域 ，Tunnel 接口 属于 DMZ 区域 。 


DM DMZ 


Tunnell 
10.1L.11/24 





OA 
192.168.1.1/24 


5-16 ”GRE VPN 安全 策略 配置 组 网 图 


安全 策略 的 配置 过 程 如 下 。 

(1) 我 们 先 配置 一 个 最 宽泛 的 域 间 安 全 策略 ， 以 便 调 测 GRE。 

在 FW_A 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 armit 

[FW_A] firewall packet-filter default permitall = 

在 FW_B 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 permit。 

[FW_B] firewall packet-filter default permit all 

(2) 配置 好 GRE 后 ， 在 PC_A 上 ping PC _B， 然 后 查看 会 话 表 ， 以 FW_A 为 例 。 

[FW_A] display firewall session table verbose 

Current Total Sessions : 2 

gre VPN:public ->pubic 

Zone: local--> untrust TTL: 00:04:00 Left 00:03:37 

Interface: GigabitEthermet0/0/2 NextHop: 1.1.1.2 MAC: 54-89-98-87-22-a4 
<--packets:4 bytes:352  -->packets:5 bytes:460 


iemp VPN:public -> public : 

Zone: trust—> dmz TTL: 00:00:20 ef 00:00:00 
Interface: Tunnell NextHop; 192.168 .22 MAC: 0000.00.00.00.00 
‘<packets:1 bytes:60 一 >packets: 1 bytes:60 

192.168.1.2:22625-->192.168.2.2:2048 


从 上 述 信 息 可 知 ，PC_A 可 以 ping 通 PC_B，GRE 会 话 也 正常 创建 。 

(3) 分 析 会 话 表 得 到 精细 化 的 安全 策略 的 匹配 条 件 。 

从 会 话 表 中 我 们 可 以 看 到 两 条 流 ， 一 条 是 trust-->dmz 之 间 的 ICMP 报 文 ， 一 条 是 
local-->untrust 之 间 的 GRE 报 文 ， 由 此 我 们 可 以 得 到 FW_A 上 的 报 文 走向 ， 如 图 5-17 所 示 。 

由 上 图 可 知 ，FW_A 上 需要 配置 Trust 区 域 一 >DMZ 区 域 的 安全 策略 ， 人 允许 PC_A 
访问 PC _B 的 报 文通 过 ; 还 需要 配置 Local 区 域 一 >Untrust 区 域 的 安全 策略 ， 允 许 FW_A 
与 FW_B 建立 GRE 隧道 。 
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GRE 隧道 






PC_A 
192.168.1.1/24 
FW_A 


5-17 FW_A 上 的 报 文 走向 
同样 也 可 以 得 到 FW_B 上 的 报 文 走 向 ， 如 图 5-18 所 示 。 


GRE 隧道 


PC_B 
192.168.2.1/24 


FW_B 
一 -一 一 > PC_A 访问 PC_B 的 原始 报 文 


图 5-18 FW_B 上 的 报 文 走向 


由 上 图 可 知 , FW_B 上 需要 配置 DMZ 区 域 一 >Trust 区 域 的 安全 策略 ,允许 PC_A 访 
问 PC_B 的 报 文通 过 ; 还 需要 配置 Untrust 区 域 一 >Local 区 域 的 安全 策略 ， 人 允许 FW_A 
与 FW_B 建立 GRE 隧道 。 

当 PC _B 向 PC_A 发 起 访问 时 ， 报 文 走向 与 PC_A 访问 PC_B 时 的 走向 相反 ， 不 再 
著述 。 

综 上 所 述 ，FW_A 和 FW_B 上 应 该 配置 的 安全 策略 匹配 条 件 如 表 5-2 所 示 ， 我 们 按 
照 表 中 的 匹配 条 件 配置 精确 的 安全 策略 。 


表 5-2 FW_A 和 FW_B 的 安全 策略 匹配 条 件 










192.168.2.0/24 
Untrust Local 
192.168.2.0/24 
Untrust 


PC _A 访问 
PC _B 















PC _B 访问 
PC A 






*: 此 处 的 应 用 与 具体 的 业务 类 型 有 关 ， 可 以 根据 实际 情况 配置 ， 如 ttp、udp、icmp 等 
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在 GRE 场景 中 , FW_A 和 FW_B 上 的 Tunnel 接口 必须 加 入 安全 区 域 , 而 且 Tunnel 
接口 所 属 的 安全 区 域 决定 了 报 文 在 防火 墙 内 部 的 走向 。 如果 Tunnel 接口 属于 Trust 区 域 ， 
那 就 不 需要 配置 DMZ<--->Trust 的 安全 策略 ,但 这 样 会 带 来 安全 风险 。 因 此 建议 将 Tunnel 
接口 加 入 到 单独 的 安全 区 域 ， 然 后 配置 带 有 精确 匹配 条 件 的 安全 策略 。 

(4) 最 后 ， 将 缺 省 包 过 滤 的 动作 改 为 deny。 

在 FW_A 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 deny。 

[FW_A] firewall packet-filter default deny all 

在 FW_B 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 deny。 


[FW_B] firewall packet-filter default deny al 


以 上 调 测 过 程 虽然 有 点 麻烦 ， 但 这 样 配置 出 来 的 安全 策略 比较 精细 化 ， 能 充分 保证 
防火 墙 和 内 网 的 安全 。 


5.3 L2TP VPN 的 诞生 及 演进 


说 到 L2TP VPN 必须 先 将 镜头 切 到 互联 网 发 展 初 期 ， 那 个 时 代 个 人 用 户 和 企业 用 户 
大 都 通过 电话 线 上 网 ， 当 然 企 业 分 支 机 构 和 出 差 用 户 一 般 也 通过 “电话 网 络 [学 名 叫 作 
PSTN (Public Switched Telephone Network) /ISDN (Integrated Services Digital Network) ]” 
来 接 入 总 部 网 络 。 人 们 将 这 种 基于 PSTN/ISDN 的 VPN 命名 为 VPDN (Virtual Private Dial 
Network)，L2TP VPN 是 VPDN 技术 的 一 种 ， 其 他 的 VPDN 技术 已 经 逐步 退出 了 历史 舞台 。 

如 图 5-19 所 示 ， 在 传统 的 基于 PSTN/ISDN 的 L2TP VPN 中 ,运营 商 在 PSTN/ISDN 和 
IP 网 络 之 间 部 署 LAC (在 VPDN 里 称 为 NAS，Network Access Server)， 集 中 为 多 个 企业 用 
户 提供 L2TP VPN 专线 服务 ， 配 套 提 供认 证 和 计 费 功能 。 当 分 支 机 构 和 出 差 员工 拨打 L2TP 
VPN 专用 接 入 号 时 ， 接 入 Modem 通过 PPP 协议 与 LAC 建立 PPP 会 话 ， 同 时 启动 认证 和 计 
费 。 认 证 通过 后 LAC 向 LNS 发 起 L2TP 隧道 和 会 话 协商 ， 企 业 总 部 的 LNS 出 于 安全 考虑 ， 
再 次 认证 接 入 用 户 身 份 ， 认 证 通过 后 分 支 机 构 和 出 差 员 工 就 可 以 访问 总 部 网 络 了 。 






AAA Server 


L2TP 会 话 久 隧道 


LAC(L2TP Access Concentrator): L2TP 接 入 汇聚 点 ， 部 署 在 运营 商 网 络 
LNS(L2TP Network Server): L2TP 网 络 服务 器 ， 部 署 在 企业 总 部 出 口 


图 5-19 基于 PSTN/ISDN 的 L2TP VPN 
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[| 说 明 
LAC 和 LNS 是 L2TP 协议 里 的 概念 ，NAS 是 VPDN 里 的 概念 ， 在 L2TPVPN 中 LAC 
实际 上 就 是 NAS。 


随 着 他 网 络 的 普及 ，PSTN/ISDN 网 络 逐 渐 退 出 数据 通信 和 领域。 企业 和 个 人 用 户 都 
可 以 通过 以 太 网 直接 接 入 Internet 了 ， 此 时 L2TP VPN 也 悄悄 地 向 前 “ 迈 了 两 小 步 ” 一 -一 
看 似 只 有 两 小 步 , 但 这 两 小 步 却 让 L2TP VPN 这 个 过 气 明 星 留 在 了 风云 变化 的 全 舞台 上 。 
现今 L2TP VPN 常用 场景 如 图 5-20 所 示 , 从 图 中 我 们 可 以 看 出 L2TP VPN 已 经 可 以 从 容 
地 行走 在 IP 江 湖上 了 。 


分 支 机 构 L2TP 会 话 & 隧道 






L2TP Client 二 
L2TP 会 话 & 隧道 
5-20”L2TP VPN 常用 场景 





。 两 小 步 之 PPP 屈 尊 落户 以 太 网 。 这 是 拨号 网 络 向 以 太 网 演进 过 程 中 的 必 
经 之 路 ， 并非 专门 为 L2TP VPN 设计 , 但 L2TP VPN 确实 是 最 大 的 受益 者 。 分 支 
机 构 用 户 安装 PPPoE Client， 在 以 太 网 上 触发 PPPOE 拨 号， 在 PPPoE Client 和 
LAC (PPPoE Server) 之 间 建 立 PPPoE 会 话 。LAC 和 LNS 之 间 的 L2TP VPN 建 
立 过 程 没 有 变化 。 
。 两 小 步 之 二 一 一 L2TP 延伸 到 用 户 PC。 这 种 场景 下 ，PC 可 以 通过 系统 自 带 的 
L2TP Client 或 第 三 方 L2TP Client 软件 直接 拨号 与 LNS 建立 L2TP VPN。L2TP 
Client 据 弃 了 LAC 这 位 “ 护 客 ” 跟 总 部 直接 建立 合作 关系 ， 看 来 这 种 事情 在 哪 
里 都 会 发 生 啊 ! 
这 两 种 场景 跟 初始 L2TP VPN 场景 相 比 有 一 个 共同 特征 就 是 : 企业 投资 买 设备 ， 然 
后 借用 Internet 自 建 L2TP VPN。 这 样 就 可 以 避 开 运营 商 对 VPN 专线 业务 的 收费 ， 减 少 
了 长 期 投资 。 为 区 分 以 上 两 种 L2TP VPN， 前 者 〈 基 于 LAC 拨号 的 L2TP VPN) 被 称 为 
NAS-Initiated VPN， 后 者 〈 客 户 端 直接 拨号 的 L2TP VPN) 被 称 为 Client-Initiated VPN。 
下 面 我 们 对 这 两 种 L2TP VPN 进行 详细 介绍 。 
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5.4 L2TP Client-lnitiated VPN 


现在 大 家 普遍 对 PC、PAD 或 手机 上 的 各 种 客户 端 不 太 陌生 了 ， 最 常见 的 是 PPPoE 
客户 端 , 就 是 大 家 常 说 的 宽带 上 网 客户 端 。 其 次 是 VPN 客户 端 ， 这 种 客户 端 家 庭 用 户 不 
会 使 用 , 一 般 是 企业 为 远程 办 公 员 工 提 供 的 服务 。 这 里 我 们 主要 介绍 的 是 VPN 客户 端 中 
的 一 种 ， 即 L2TP VPN 客户 端 。 

L2TP VPN 客户 端的 作用 是 帮助 用 户 在 PC、PAD 或 手机 上 触发 建立 一 条 直通 公司 总 
部 网 络 的 L2TP 隧道 ， 实 现 用 户 自由 访问 总 部 网 络 的 目的 ， 这 有 点 像 是 掌握 了 通 往 地 球 
(总 部 网 络 ) 的 “ 虫 洞 ” 入口 的 都 教授 可 以 瞬间 自由 往来 于 两 个 遥远 的 星球 。 无 论 是 在 现 
实 社会 还 是 在 虚拟 网 络 世界 ， 幸 福生 活 似乎 只 有 在 消除 了 时 空 距离 后 方 能 体会 ， 强 叔 用 
真实 体验 告诉 大 家 Client-Initiated VPN 可 以 助 您 轻松 过 上 都 教授 的 幸福 生活 。 

都 教授 要 借助 L2TP VPN 客户 端 穿越 “ 虫 洞 ” 进入 公司 网 络 ， 必 然 要 先 通过 “门神 ?” 
LNS 的 身份 检查 〈 检 查 手 段 毫 不 含糊 , 用 户 名 称 、 密码 、 主 机 名 称 、 隧道 验 证 应 有 尽 有 )。 
LNS 为 通过 验证 的 用 户 发 放 特 别 通 行 证 (公司 内 网 人 P 地 址 ), 对 试图 混入 的 人 说 bye-bye， 
Client-Initiated VPN 的 消息 交互 中 体现 的 就 这 样 一 个 简单 的 思想 。 为 了 让 大 家 一 目 了 然 ， 
并 方便 跟 下 一 节 的 NAS-Initiated VPN 进行 对 比 ， 强 叔 画 了 一 张 简 图 ， 如 图 5-21 所 示 ， 
然后 结合 这 张 图 对 L2TP Client 与 LNS 之 间 的 消息 交互 进行 深入 剖析 。 


地 址 池 : 192.168.2.2 ~ 192.168.2.100 
VT 接口 IP: 192.168.2.1 


L2TP Client L2TP 隧道 LNS 内 网 服务 器 


公 网 IP: 1.1.1.2 : i 
获得 的 私 网 IP: 192.168.2.2 到 GE0/0/2 
1.1.1.1/24 





IP: 192.168.1.2/24 


公司 总 部 


图 5-21 Client-Initiated VPN 建立 过 程 


Client-Initiated VPN 配置 如 表 5-3 所 示 ， 为 突出 重点 ，L2TP Client、LNS、 内 网 服务 
器 之 间 都 是 直 连 ， 省 去 了 路 由 配置 。 用 户 认证 也 采用 了 比较 简单 的 本 地 认证 。 另 外 ， 内 
网 服务 器 上 要 配置 网 关 ， 保 证 回应 给 L2TP Client 的 报 文 能 够 发 送 到 LNS 。 
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表 5-3 配置 Client-Initiated VPN 














对 端 IP 地 址 : 1.1.1.1 

。 登录 用 户 (PPP 用 户 ) 名 : 12tpuser 

。 登录 用 户 (PPP 用 户 ) 密 码 : Admin@123 

。 隧道 名 称 ( 可 选 ):; LNS 

。 PPP 认证 模式 (PAP/CHAP/EAP， 有 
些 客户 端 默 认 CHAP): CHAP 

。 隧道 验证 (可 选 ， 有 些 客户 端 不 支 
持 ): 不 选中 

前 三 项 是 必 配 内 容 ， 后 三 项 可 能 会 因 客 

户 端 不 同 有 所 取舍 


12tp enable 
interface Virtual-Templatel 
ppp authentication-mode chap 
ip address 192.168.2.1 255.255.255.0 
remote address pool 1 
12tp-group 1 
undo tunnel authentication 
allow 12tp virtual-template 1 /指定 VT 接口 
tunnel name LNS // 本 端 隧道 名 称 


配置 L2TP 











人 12tpuser password cipher Admin@ 123 
/本 地 用 户 名 、 密 码 

local-user 12tpuser service-type ppp /用 户 的 服务 类 型 
ip pool 1 192.168.2.2 192.168.2.100 /地 址 池 

大 家 对 VT 接口 应 该 比较 陌生 吧 ? 它 是 用 于 二 层 协议 通信 的 逻辑 接口 ， 一 般 在 
PPPoE 协议 中 使 用 。L2TP 为 了 适应 以 太 网 环境 跟 PPPoE 展开 了 合作 ， 所 以 大 家 在 这 
里 会 发 现 VT 接口 的 身影 。 有 关 VT 接口 在 Client-Initiated VPN 中 的 作用 ， 容 强 叔 一 点 
一 点 揭 开 。 

下 面 强 叔 结合 抓 包 情况 来 讲解 一 下 Client-Initiated VPN 建立 的 完整 过 程 。 


5.4.1 阶段 1 建立 L2TP 隧道 3 条 消息 协商 进入 虫 洞 时 机 


L2TP Client 和 LNS 通过 交互 三 条 消息 协商 隧道 ID、UDP 端口 (LNS 用 1701 端口 
响应 Client 隧道 建立 请 求 )、 主 机 名 称 、L2TP 的 版 本 、 隧 道 验 证 〈Client 不 支持 隧道 验 
证 时 LNS 的 隧道 验证 功能 要 关闭 ， 例 如 WIN7 操作 系统 ) 等 参数 。 


配置 AAA 
认证 





表 5-4 给 出 了 隧道 ID 协商 过 程 ， 帮 助 大 家 理解 “协商 ”的 含 
表 5-4 隧道 ID 协商 过 程 


BB Assigned Tunnel ID AVP 
Mandatory: True 
Hidden: False 
Length: 8 
Yendor ID: Reserved (0) 


ype: Assigned Tunnel ID {9) 


S Assigned Tunnel ID AVP 
Mandatory: True 
Hidden: False 
Length: 8 
Yendor ID: Reserved (0) 


pe: Assigned Tunnel ID (9) 
















L2TP Client: LNS 兄 ， 用 1 作为 Tunnel 
ID 跟 我 通信 吧 







LNS: OK，L2TP Client， 你 也 用 1 作 
为 Tunnel ID 跟 我 通信 
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5.4.2 阶段 2 建立 L2TP 会 话 : 3 条 消息 唤醒 虫 洞 门神 


L2TP Client 和 LNS 通过 交互 三 条 消息 协商 Session ID， 建 立 L2TP 会 话 。 只 有 先 跟 
“门神 ”对 上 话 了 ， 才 可 能 提交 身份 认证 材料 呀 ! 





表 5-5 给 出 了 Session ID 协商 过 程 。 
表 5-5 Session ID 协商 过 程 


BAssigned session AVP 
Mandatory: True 
Hidden: False 
Length: 8 
vendor ID: Reserved (0) 


pe: Assigned session {14) 


BS Assigned session AYP 
Mandatory: True 
Hidden: False 
Length: 8 
vendor ED: Reserved (0) 


ype: Assigned Session (14) 
Assigned session: 1 








L2TP Client: LNS 兄 , 用 1 作为 Session 
ID 跟 我 通信 吧 


LNS: OK，L2TP Client， 你 也 用 1 作为 
Session ID 跟 我 通信 


L2TP Client: OK 


.5.4.3 阶段 3 创建 PPP 连接 : 身份 认证 ， 发 放 特 别 通 行 证 


1. LCP 协商 

LCP 协商 是 两 个 方向 分 开 协 商 的 ， 主 要 协商 MRU 大 小 。MRU 是 PPP 的 数据 链 路 
层 参 数 ， 类 似 以 太 网 中 的 MTU。 如 果 PPP 链 路 一 端 设备 发 送 的 报 文 载荷 大 于 对 端的 
MRU， 这 个 报 文 在 传送 时 就 会 被 分 片 。 








日 PPP Link Control protocol 
Code: Configuration Request yi 
Identifier: Ox03 
Length: 19 


Options: (15 bytes 
包 Authentication protocol: 5 bytes 
Magic nimber: Oxe8969673 


从 图 中 可 知 ， 协 商 后 的 MRU 值 是 1 460。 

2. PPP 验证 

验证 方式 包括 CHAP、PAP、EAP。CHAP 或 PAP 可 以 在 本 地 认证 ， 也 可 在 AAA 服 
务 器 上 认证 ; EAP 只 能 在 AAA 服务 器 上 进行 认证 。EAP 认证 比较 复杂 ， 而 且 不 同型 号 
的 防火 墙 支持 情况 有 差异 ， 所 以 此 处 仅 给 出 最 常用 的 CHAP 验证 过 程 。 
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表 5-6 给 出 了 经 典 的 PPP 三 次 握手 验证 的 过 程 。 
表 5-6 PPP 三 次 握手 过 程 








已 PPP Challenge Handshake Authentication Protocol 
Code: challienge (1) 
Identifier: 1 









| LNS: L2TP Client， 发 给 你 一 个 “ 挑 
| 战 CChallenge)” 用 它 来 加 密 你 的 密 
码 吧 Value Size: 16 


翌 PPP Challenge Handshake Authentication Proteco] 
Code: Response (2) 
Identifier: 1 
Length: 29 
B Data 
Value Size: 16 
: f343eddd3 






2TP Client: OK， 把 我 的 用 户 名 和 
0 密 后 的 密码 发 给 你 ， 请 验证 : 
Identifier: 1 


LNS: 验证 通过 ， 欢 迎 来 到 PPP 的 
Lf 
， 


LNS 上 配置 的 用 户 名 和 密码 是 用 来 验证 Client 的 ， 当 然 要 求 “ 本 人 ”和 “签证 ” 完 
全 一 致 ， 即 要 求 L2TP Client 和 LNS 上 配置 的 用 户 名 和 密码 完全 一 致 。 这 里 详解 一 下 什 
么 叫 用 户 名 完全 一 致 。 
e。 如 果 在 LNS 上 配置 的 签证 为 username( 没 有 domain)， 则 L2TP Client 登录 的 用 
户 名 也 要 是 username。 
。 如 果 在 LNS 上 配置 的 签证 为 fullusemame (usemame@default 或 username@ domain )， 
则 L2TP Client 登录 的 用 户 名 也 要 是 username@default 或 username@domain。 
本 例 中 LNS 上 配置 的 用 户 名 是 12tpuser， 所 以 Client 登录 时 务必 要 输入 完全 一 致 的 
用 户 名 。 这 个 道理 很 简单 ， 但 却 是 大 家 在 配置 时 常 犯 的 错误 。 
在 AAA 认证 中 一 定 会 用 到 “domain 〈 认 证 域 )” 这 个 概念 的 ， 大 家 肯定 会 问 用 户 名 
称 后 面 加 上 domain 有 何 意义 ? 
在 大 企业 中 ， 往 往 会 把 不 同 部 门 划分 到 不 同 domain 中 ， 然 后 在 LNS 上 根据 domain 
给 不 同 部 门 创建 不 同 的 地 址 池 ， 也 就 是 说 不 同 部 门 的 网 段 可 以 通过 地 址 池 规 划分 开 ， 这 
样 方便 后 续 针 对 不 同 部 门 部 署 不 同 的 安全 策略 。 
3. IPCP 协商 ， 成 功 后 分 配 IP 地 址 
LNS 分 配给 L2TP Client 的 IP 地 址 是 192.168.2.2。 














弓 PPP Challenge Handshake Authentication Protoco] 
Code: Success (3) 





BPPpPp IP Control protocol 
Code: Configuration Reqguest (Ox01) 
Identifier: Ox02 
Length: 10 
B Options: (6 bytes) 


看 到 这 里 大 家 应 该 明白 了 ，LNS 上 地 址 池 里 的 地 址 就 是 用 来 给 远 端 Client 分 配 IP 
地 址 用 的 ， 当 然 应 该 是 私 网 地 址 ,应 该 跟 其 他 内 网 主机 地 址 一 样 遵循 内 网 IP 地 址 规划 原 
则 。 那 么 VT 接口 呢 ?” 其 实 VT 接口 也 是 内 网 接口 ， 也 应 该 遵循 内 网 卫 地址 规划 原则 统 
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一 进行 规划 。IP 地 址 规划 总 的 原则 如 下 。 
e 建议 为 VT 口 、 地 址 池 和 总 部 网 络 地 址 分 别 规 划 独 立 的 网 段 ， 三 者 的 地 址 不 要 
重叠。 
。 如 果 地 址 池 地 址 和 总 部 网 络 地 址 配置 为 同一 网 段 ， 则 必须 在 LNS 连接 总 部 网 络 
的 接口 上 开启 ARP 代理 功能 ， 并 且 开 启 L2TP 虚拟 转发 功能 ， 保 证 LNS 可 以 对 
总 部 内 网 服务 器 发 出 的 ARP 请 求 进 行 应 答 。 
假设 LNS 连接 总 部 网 络 的 接口 是 GE0/0/1, 开启 ARP 代理 功能 和 L2TP 虚拟 转发 功 
能 的 配置 如 下 。 
[LNS] interface GigabitEthernet0/0/1 


[LNS-GigabitEthernet0/0/1] arp-proxy enable // 开 启 ARP 代理 功能 
[LNS-GigabitEthernet0/0/1] virtual-12tpforward enable /开启 L2TP 虚拟 转发 功能 


看 完 PPP 认证 过 程 大 家 应 该 明白 了 ，L2TP 巧妙 地 利用 了 PPP 的 认证 功能 达到 了 自 
己 认证 远程 接 入 用 户 的 目的 。 是 谁 促成 了 这 个 合作 项 目的 呢 ? 就 是 VT F 赴 有 5 
[LNS] 12tp-group 1 ， 
[LNS-12tp1] allow 12tp virtual-template 1 
就 是 上 面 这 条 命令 将 L2TP 与 PPP 联系 了 起 来 : VT 接口 管理 PPP 认证 ，L2TP 模块 
又 是 VT 接口 的 老板 ， 二 者 的 合作 就 这 样 实现 了 ! VT 接口 只 在 L2TP 和 PPP 之 间 起 作用 ， 
是 个 无 名 英雄 ， 不 参与 封装 ， 也 不 需要 对 外 发 布 ， 所 以 其 他 地 址 配置 成 私 网 他 地址 即 可 。 
L2TP Client-Initiated VPN 的 协商 过 程 远 比 GRE VPN 要 复杂 ， 总 结 一 下 Client-Initiated 
VPN 隧道 的 特点 ， 如 下 所 示 。 
e。 L2TP VPN 跟 GRE VPN 有 很 大 不 同 。GRE VPN 没有 隧道 协商 过 程 , 是 没有 控制 
连接 和 状态 的 隧道 ， 所 以 也 无 法 查看 隧道 、 检 查 隧道 状态 ,。 但 L2TP VPN 是 有 控 
制 连接 的 隧道 ， 可 以 查看 到 隧道 和 会 话 。 
。 如 图 5-22 所 示 ， 对 于 Client-Initiated VPN 来 说 ，L2TP Client 和 LNS 之 间 存 在 一 
条 L2TP 隧道 ， 隧 道中 只 有 一 条 L2TP 会 话 ，PPP 连接 就 承载 在 此 L2TP 会 话 上 。 
这 一 点 跟 下 一 节 要 讲 的 NAS-Initiated VPN 不 同 ， 需 要 关注 一 下 。 


L2TP Client LNS 内 网 服务 器 





图 5-22 ”Client-Initiated VPN 中 L2TP 隧道 、 会 话 跟 PPP 连接 的 关系 


5.4.4 ”阶段 4 数据 封装 传输 : 穿越 虫 洞 ， 访 问 地 球 
L2TP 隧道 建立 后 ，L2TP Client 的 数据 就 可 以 轻松 地 进出 总 部 网 络 了 。 想 把 都 教授 
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如 何 穿越 虫 洞 的 过 程 讲 清楚 很 困难 , 但 是 把 L2TP Client 的 数据 如 何 穿越 L2TP 隧道 达到 
总 部 网 络 的 过 程 讲 清楚 不 太 难 , 这 就 涉及 了 L2TP 数据 报 文 的 封装 过 程 。 这 个 过 程 跟 GRE 
报 文 穿 “马甲 ” 脱 “ 马 甲 ”的 过 程 很 相似 ， 不 同 的 是 马甲 的 样式 有 点 变化 。 


本 Frame 2: 112 bytes on wire (896 bits), 112 bytes captured (896 bits) 

EE Ethernet II，Src: Vmware_9e:05: a : 

因 Internet Protocol, Sher A Le 

Em User Datagram Protocol, src port: 12f (1701) Dst Port: 12f (1701) 

全 上 ayer 2 Tunneling protocol 

本 Point-to-Point Protocol 
EB Interner protocol, src: 192.168.2.2 (192.168.2.2), Dst: 192.168.1.2 C192.158,1.2) 
全 Internert Control Message Protocol 





从 上 面 的 抓 包 信 息 中 可 以 看 出 L2TP 报 文 的 封装 结构 ， 仔 细 分 析 一 下 可 以 得 到 
Client-Initiated VPN 场景 下 ，L2TP 数据 报 文 的 封装 / 解 封装 过 程 ， 如 图 5-23 所 示 。 


L2TP Client LNS 







L2TP VPN 隧道 服务 器 





L2TP 
数据 封装 ”以太 封装 


图 5-23 ”Client-Initiated VPN 报 文 封 装 / 解 封装 过 程 


L2TP Client 发 往 内 网 服务 器 的 报 文 的 转发 过 程 如 下 。 

(1) L2TP Client 将 原始 报 文 用 PPP 头 、L2TP 头 、UDP 头 、 外 层 公 网 IP 头 层 层 封 
装 ， 成 为 L2TP 报 文 。 外 层 公 网 P 头 中 的 源 地 址 是 L2TP Client 的 公 网 他 地 址 ， 目 的 地 
址 是 LNS 的 公 网 接口 卫 地 址 。 

(2) L2TP 报 文 穿 过 Internet 达到 LNS。 

(3) LNS 收 到 报 文 后 ， 在 L2TP 模块 中 完成 了 身份 认证 和 报 文 的 解 封装 ， 去 掉 PPP 
头 、L2TP 头 、UDP 头 和 外 层 IP 头 ， 还 原 为 原始 报 文 。 

(4) 原始 报 文 只 携带 了 内 层 私 网 IP 头 ， 内 层 私 网 P 头 中 的 源 地 址 是 L2TP Client 获 
取 到 的 私 网 卫 地 址 ， 目 的 地 址 是 内 网 服务 器 的 私 网 卫 地 址 。LNS 根据 目的 地 址 查找 路 
由 表 ， 然 后 根据 路 由 匹配 结果 转发 报 文 。 

至 此 ，L2TP Client 可 以 畅通 无 阻 地 访问 总 部 的 内 网 服务 器 了 ， 但 是 还 有 一 个 问题 ， 
从 总 部 的 内 网 服务 器 到 L2TP Client 的 回程 报 文 是 如 何 进 入 隧道 返回 L2TP Client 的 ， 我 
们 似乎 并 没有 配置 什么 路 由 将 回程 报 文 引 导 到 隧道 呀 ? 查看 LNS 上 的 路 由 表 , 发 现 了 一 
个 有 趣 的 现象 : LNS 为 获得 私 网 卫 地 址 的 L2TP Client 自动 下 发 了 一 条 主机 路 由 。 
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Destination/Mask Proto Pre Cost Bilger emi Interface 
2 192.168.2 





pe rn UNR (User Network Route) ) 路 由 ， 目的 地 址 和 下 一 
跳 都 为 LNS 为 L2TP Client 分 配 的 私 网 IP 地 址 ， 出 接口 是 VT 口 。 这 条 路 由 就 是 LNS 
上 虫 洞 的 入 口 ， 引 导 去 往 L2TP Client 的 报 文 进入 隧道 。 疑问 消除 ， 内 网 服务 器 返回 报 文 
的 转发 过 程 也 就 不 难 理解 了 。 

(1) LNS 收 到 内 网 服务 器 发 来 的 回程 报 文 后 ， 根 据 报 文 的 目的 地 址 (L2TP Client 
的 私 网 卫 地 址 ) 查找 路 由 ， 命 中 UNR 路 由 ， 将 回程 报 文 发 送 至 VT 接口 。 

(2) 回程 报 文 在 L2TP 模块 封装 PPP 头 、L2TP 头 、UDP 头 和 外 层 公 网 耳 头 。 

(3) LNS 根据 报 文 外 层 公 网 卫 头 中 的 目的 他 地址 (L2TP Client 的 公 网 他 地 址 ) 查 
找 路 由 表 ， 然 后 根据 路 由 匹配 结果 转发 报 文 。 

以 上 过 程 稍 有 点 复杂 ， 回 程 报 文通 过 两 次 匹配 路 由 表 完 成 了 返回 L2TP Client 的 旅程 。 

上 文 我 们 只 使 用 了 一 个 L2TP Client 来 讲解 ， 实 际 环境 中 会 有 多 个 L2TP Client 同时 
穿 过 虫 洞 访问 总 部 网 络 。 如果 L2TP Client 已 经 不 满足 只 访问 总 部 网 络 , 还 想 访问 其 他 的 
L2TP Client， 即 L2TP Client 之 间 实 现 相互 访问 ，L2TP 能 做 到 吗 ? 别 筷 了 ，LNS 是 连接 
多 个 虫 洞 的 中 转 站 ， 它 上 面 存在 着 到 各 个 L2TP Client 的 主机 路 由 。 所 以 通过 LNS 来 转 
发 ， 两 个 L2TP Client 之 间 可 以 自如 访问 ， 如 图 5-24 所 示 。 当 然 ， 互 访 的 前 提 是 双方 要 
知道 LNS 为 对 方 分 配 的 卫 地 址 。 这 个 前 提 确 实 不 太 容易 获得 ， 所 以 L2TP Client 之 间 互 
访 的 场景 也 不 常见 。 


L2TP Client 





V2T [3 


L2TP Client 
5-24 L2TP Client 互 访 


5.4.5 ”安全 策略 配置 思路 


L2TP Client-Initiated VPN 中 安全 策略 的 总 体 配置 思路 与 GRE 中 安全 策略 的 配置 思 
路 相同 ， 只 是 把 Tunnel 接口 换 成 了 VT 接口 而 已 。 | 

如 图 5-25 所 示 , 我 们 假设 在 LNS 上 ，GE0/0/1 接口 连接 总 部 私 网 ， 属 于 Trust 区 域 ; 
GE0/0/2 接口 连接 Internet, 属于 Untrust 区 域 ; VT 接口 属于 DMZ 区 域 。LNS 为 L2TP Client 
分 配 的 瑟 地址 为 192.168.2.2。 

安全 策略 的 配置 过 程 如 下 。 

(1) 我 们 先 配 置 一 个 最 宽泛 的 域 间 安全 策略 ， 以 便 调 测 L2TP VPN。 
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公 网 IP: 1.1.1.2 i 
私 网 IP: 192.168.2.2 . 012 内 网 服务 器 


L2TP Client ， 192. 82.1/24 
图 5-25 ”Client-Initiated VPN 安全 策略 配置 组 网 图 
在 LNS 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 permit。 
[LNS] firewall packet-filter default permit all 
(2) 本 时 好 TI 后 ， 在 L2TP Client 上 ping 内 网 服务 器 ， 然 后 查看 会 话 表 。 





Interface: ed oa i 127.0.0.1 MAC: 00-00-00-00-00-00 
ee —>packets:55 bytes:5781 






Zone: dmz-> ‘TTL: 00:00:20 Lef: 00:00:01 。 。 
ntertieer Gigpbitedhemeg1 NextHop: 192.168.1.2 MAC: 20 .00 67 736d.63 | 
<--packets:5 bytes:240 ~->packets:5 bytes:240 

从 上 述 信息 可 知 ，L2TP Client 可 以 ping 通 内 网 服务 器 ，L2TP 会 话 也 正常 创建 。 

(3) 分 析 会 话 表 得 到 精细 化 的 安全 策略 的 匹配 条 件 。 

从 会 话 表 中 我 们 可 以 看 到 两 条 流 ， 一 条 是 Ontrust-->Local 之 间 的 L2TP 报 文 ， 一 条 是 
DMZ-->Trust 之 间 的 ICMP 报 文 ， 由 此 我 们 可 以 得 到 LNS 上 的 报 文 走向 ， 如 图 5-26 所 示 。 





内 网 服务 器 


L2TP Client 192.168.1.2/24 


私 网 IP: 192.168.2.2 LNS 


一 -一 > L2TP Client 访问 内 网 服务 器 的 原始 报 文 
----- > L2TP 报 文 


图 5-26 LNS 上 的 报 文 走向 
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由 上 图 可 知 ，LNS 上 需要 配置 DMZ 区 域 一 >Trust 区 域 的 安全 策略 允许 L2TP Client 
访问 内 网 服务 器 的 报 文通 过 ， 同 时 还 需要 配置 Untrust 区 域 一 >Local 区 域 的 安全 策略 ， 
允许 L2TP Client 与 LNS 建立 L2TP 隧道 。 

L2TP 隧道 建立 后 ， 内 网 服务 器 发 送 给 L2TP Client 的 回程 报 文 在 LNS 上 的 走向 与 
L2TP Client 访问 内 网 服务 器 时 的 报 文 走向 相反 ， 不 再 著述 。 

综 上 所 述 ，LNS 上 应 该 配置 的 安全 策略 匹配 条 件 如 表 1 所 示 ， 我 们 按照 表 中 的 匹配 
条 件 配 置 精确 的 安全 策略 。 


表 S-7 LNS hd edi 














12tp 


| LILLU32 
L2TP Client 访问 192.168.2.2~ 
内 网 服务 器 DMZ Trust 192.168.2.100 192.168.1.0/24 
(地 址 池 地 址 ) 








192.168.2.2 一 


A 192.168.1.0/24 192.168.2.100 
0 (地 址 池 地 址 ) 

*#: 此 处 的 应 用 与 具体 的 业务 类 型 有 关 ， 可 以 根据 实际 情况 配置 ， 如 tcp、udp、icmp 等 

[0 说 明 


该 场景 中 ，LNS 只 是 被 动 接 收 L2TP Client 建立 隧道 的 请 求 ， 并 不 会 主动 向 L2TP Client 
发 起 建立 隧道 的 请 求 ， 所 以 在 LNS 上 针对 L2TP 隧道 只 需 配 置 Untrust--->Local 的 安全 
策略 。 


可 见 ， 在 Client-Initiated 方式 的 L2TP VPN 场景 中 ，LNS 上 的 VT 接口 必须 加 入 安 
全 区 域 ， 而 且 VT 接口 所 属 的 安全 区 域 决定 了 报 文 在 防火 墙 内 部 的 走向 。 如 果 VT 接口 
属于 Trust 区 域 ， 那 就 不 需要 配置 DMZ<--->Trust 的 安全 策略 ， 但 这 样 会 带 来 安全 风险 。 
因此 建议 将 VT 接口 加 入 到 单独 的 安全 区 域 ， 然 后 配置 带 有 精确 匹配 条 件 的 安全 策略 。 

(4) 最 后 ， 将 缺 省 包 过 滤 的 动作 改 为 deny。 

[LNS] firewall packet-filter defaujt deny all 


5.5 L2TP NAS-Initiated VPN 


上 节 中 我 们 讲 过 ，Client-Initiated VPN 可 以 让 企业 出 差 员工 像 都 教授 一 样 穿 越 “ 虫 
洞 ” 来 去 自如 地 访问 总 部 网 络 。 而 企业 分 支 机 构 用 户 就 没有 这 么 幸运 , 它们 一 般 通过 拨 
号 网 络 接 入 Internet， 面 对 浩瀚 的 Internet 海洋 ， 没 有 能 力 找到 “ 虫 洞 ” 的 入 口 ， 只 能 望 
洋 兴叹 。 即 使 拨号 网 络 演进 到 以 太 网 ， 也 只 是 解决 了 本 地 接 入 Internet 的 问题 ， 无 法 访 
问 总 部 网 络 。 难 道 分 支 机 构 用 户 注 定 与 总 部 网 络 无 缘 了 吗 ? 

幸好 LAC 横 空 出 世 ， 帮 助 分 支 机 构 解决 了 这 一 难题 。 一 方面 ，LAC 作为 PPPoE 
Server， 分 支 机 构 用 户 作 为 PPPoE Client 与 LAC 建立 PPPoE 连接 ， 让 PPP 欢快 地 跑 在 
以 太 网 上 ; 另 一 方面 ，LAC 作为 LNS 的 “中 介 ” 为 分 支 机 构 提 供 “ 虫 洞 ” 的 入 口 ， 在 
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分 支 机 构 用 户 看 来 ， 通 过 LAC 这 扇 传 送 门 就 可 以 到 达 总 部 网 络 。 

因为 在 VPDN 里 LAC 还 有 一 个 别名 叫 作 NAS， 所 以 这 种 L2TP VPN 也 称 为 
NAS-Initiated VPN。 可 能 把 NAS-Initiated VPN 改 为 LAC-Initiated VPN 大 家 更 习惯 一 些 ， 
因为 组 网 图 中 明明 标的 是 LAC， 却 非得 叫 一 个 已 经 搁置 不 用 的 “ 曾 用 名 ”这 对 于 后 来 
者 而 言 确实 有 点 不 明 所 以 。 

NAS-Initiated VPN 的 建立 过 程 有 点 小 复杂 ， 为 了 便于 记忆 强 叔 给 大 家 画 了 一 张 简 
图 ， 如 图 5-27 所 示 ， 方 便 后 续 对 着 这 张 图 一 一 道 来 。 


LAC LNS 内 网 服务 器 
PPPoE Client 
(PPPoOE Server) L2TP 隧道 





NE 


图 5-27 NAS-Initiated VPN 建立 过 程 


为 了 复习 一 下 PPPoE 的 相关 知识 ， 我 们 用 一 台 防 火 墙 作为 PPPoE Client， 模 拟 PC 
的 PPPoE Client， 如 图 5-28 所 示 。 


LNS 


PPPoE Client LAC 地 址 池 : 172.16.0.2 ~ 172.16.0.100 
获得 的 私 网 IP: 172.16.0.2 CPPPoE Server) VT 接口 IP: 172.16.0.1 ee 


192.168.0.1/24 





分 支 机 构 公司 总 部 
图 5-28 NAS-Initiated VPN 组 网 


为 突出 重点 ，PPPoE Client、LAC、LNS、 内 网 服务 器 之 间 都 是 直 连 ， 省 去 了 路 由 配 
置 。 用 户 认证 也 采用 了 比较 简单 的 本 地 认证 。 另 外 ， 内 网 服务 器 上 要 配置 网 关 ， 保 证 回 
应 给 PPPoE Client 的 报 文 能 够 发 送 到 LNS 。 
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5.5.1 阶段 1 建立 PPPoE 连接 : 拨号 口 呼唤 VT 口 


.PPP 届 尊 落户 以 太 网 变 为 PPPoE 后 ， 为 了 在 以 太 网 上 模拟 PPP 的 拨号 过 程 ，PPPoE 
发 明了 两 个 虚拟 接口 一 一 Dialer 接口 和 VT 接口 。 防 火 墙 作 上 运行 PPPoE 时 也 用 到 了 这 
两 个 接口 ， 防 火 墙 作 为 PPPoE Client 时 用 到 了 Dialer 接口 ， 防 火 墙 作 为 PPPoE Server 时 
用 到 了 VT 接口 ， 在 这 两 个 接口 上 配置 PPPoE 相关 参数 ， 如 表 5-8 所 示 。 





表 5-8 配置 NAS-Initiated VPN 的 PPPoE 部 分 











interface dialer 1 
dialer user userl 
dialer-group 1 
dialer bundle 1 
ip address ppp-negotiate /协商 模式 下 实现 卫 地 址 动态 分 配 
ppp chap user userl ”WPPPoE Client 的 用 户 名 
ppp chap password cipher Passwordl ”WPPPoE Client 的 密码 
dialer-rule 1 ip permit 
interface GigabitEthernet0/0/1 
pppoe-client dial-bundle-number 1 // 在 物理 接口 上 启用 PPPoE 
Client 并 绑 定 dial-bundle 


interface Virtual-Template 1 
ppp authentication-mode chap 
interface GigabitEthernet 0/0/1 
pppoe-server bind virtual-template 1 ”// 在 物理 接口 
上 启用 PPPoE Server 并 绑 定 VT 接口 
aaa 
local-user userl password Password1 
local-user userl service-type ppp 


PPPoE Server (LAC) 上 的 VT 接口 只 完成 了 PPPoE 的 本 职工 作 ， 为 PPPoE Server 
提供 PPP 认证 功能 ， 没 有 肩负 与 L2TP 的 合作 职能 。 

在 L2TP 中 ， 用 户 的 卫 地 址 都 是 由 总 部 (LNS 或 AAA 服务 器 ) 统一 进行 分 配 的 ， 
所 以 LAC 上 不 需要 配置 地 址 池 〈 即 使 配置 了 地 址 池 ， 在 L2TP 隧道 已 经 建立 的 情况 下 ， 
也 会 优先 使 用 总 部 的 地 址 池 进 行 地 址 分 配 ), 而 普通 的 PPPoE 拨号 则 必须 在 PPPoE Server 


上 配置 地 址 池 。 
下 面 通 过 抓 包 来 分 析 PPPoE 连接 的 建立 过 程 。 


























6. Br OACast PPPOED ACtive DiscOvery nitiatior (PADI} 
0. HuaweiTe_e5:2f:;9e PPPoED Active Discovery Offer (PADO) AC-Name= "LAC00000072e700” PPPoE 发 现 阶段 
0. 00:00:;00_72:e7:00 PPPOED AcLiVe Discovery Request (PADR) AC-Name="LACOO0000072€700" 
0. HuaweiTe_e5:2f: Se PPPOED Active Disco Session-conf irmarion {PADS) AC-Name="LACO0000072e700" 
0. : :el: b PPP LCP Conf TguratTon Request 

60. a 2f :9e PPP LCP Configuration Request 

7 1.032000 00:00:00_72:e7:00 HuaweiTe_e5: 2 9e PPP LCP Configuration AcK 

8 3.079000 ”00:00:00_72:e7:00 HuaweiTe_e5:2f:9e PPP LCP Configuration Request PPP LCP 协 商 

93.110000 HuaweiTe_e5:2f:9e 00:00:00_72:e7:00 PPP LCP Configuration Nak 

10 3.141000 00:00:00_72:e7:00 HuaweiTe_e5:2f:9e PPP LCP Configuration Request 

11 3.172000 HuaweiTe_e5:2f:9e 00;:00:00_72:e7 ;00 PPP LCP configuration Request 

12 3,204000 HuaweiTe_e5:2f:9e 00:00:;00_72:e7:00 PPP LCP configuration Ack 

13 3,657000 00:00:00_72:e7:00 HuaweiTe_e5:2f :9e PPP LCP confjiguration Ack 


14 3.672000 00:00:00_72:e7:00 HUaweiTe_e5:2f:9e PPP CHAP Challenge 〈《NAME=” ，VALUE=Gx903ec8fe2f32339f61itifaa450ef5646d4) 
15 3.813000 HuaweiTé e5:2f:9e 00:00:00_72:e7:00 PPP CHAP Response {NAME="uSser1l', VALUE=0x038f908ad4aSf88abibf4a50702e177d) 
16 4.557000 00:00:00_72:e7:00 HuaweiTe_e5:2f:9e Ppp CHAP Success (MESSAGE="'Welcome to .') PPP CHAP 认 证 


这 里 重点 介绍 PPPoE 发 现 阶段 的 协商 过 程 ， 如 表 5-9 所 示 ，PPPoE Client 和 PPPoE 
Server 之 间 通 过 交互 PADI、 PADO、PADR 和 PADS 报 文 , 确定 对 方 以 太 网 地 址 和 PPPoE 
会 话 ID。 


表 5-9 PPPoE 发 现 阶段 的 协商 过 程 


日 PPP-OVer-Ethernet Discovery 
。 本 0001 ~... = Version: 主 
PPPoE Client: 广播 广 0001 = Type: 1i 
播 ， 我 想 接 入 PPPoE， Code: ACctive DiSCover Initiation (PADI) (Ox09) 
session ID: Ox0000 
谁 来 帮 帮 有 我 Payjioad Length: 10 
本 PPPOE Tags 
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PPPoOE Server: PPPoE 
Client， 找 我 呀 ， 我 可 以 
帮助 你 

















PPPoE Client: 太 好 了 ， 
PPPoE Server, 我 想 跟 你 
建立 PPPoE 会 话 


PPPoE Server: 没 问题 ， 
我 把 会 话 ID 发 给 你 , 我 
们 就 用 这 个 ID 建立 
PPPoE 会 话 吧 












Sessi on ID: 0x0000 
Payload Length: 29 
田 PPPoE Tags 










Payioad Length: 29 
田 PPPOE Tags 
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( 续 表 ) 
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ln ID: Ox0000 
Payload Length: 29 


然后 经 过 PPP LCP 协商 和 PPP CHAP 认证 ，PPPoE 连接 就 建立 起 来 了 。 
5.5.2 阶段 2 建立 L2TP 隧道 3 条 消息 协商 进入 虫 洞 时 机 


首先 来 看 一 下 LAC 和 LNS 的 具体 配置 ， 如 表 5-10 所 示 。 
本 十 NA-Jnitistod WEN 的 LZTP 部 分 


表 5-10 





12tp enable 

12tp-group 1 
tunnel authentication /避免 假冒 LAC 接 入 LNS 
tunnel password cipher Password1 
tunnel name lac 


start 12tp ip 1.1.1.2 fullusername userl /指定 隧道 对 端 
地 址 









12tp enable 
interface Virtual-Template 1 

ppp authentication-mode chap 

ip address 172.16.0.1 255.255.255.0 

Temote address pool 1 
12tp-group 1 

tunnel authentication /避免 假冒 LAC 接 入 LNS 

tunnel password cipher Password1 

allow 12tp virtual-template 1 remote lac // 指 定 VT 接口 并 多 
许 远 端 LAC 接 入 
aaa 

local-user userl password Password1l 
local-user Userl service-type ppp 
ip pool 1 172.16.0.2 172.16.0.100 


LAC 和 LNS 通过 交互 3 条 消息 协商 L2TP 隧道 ， 这 个 过 程 我 们 在 “5.4 L2TP 
Client-Initiated VPN” 中 已 经 介绍 过 了 ， 这 里 再 复习 一 遍 ， 抓 包 信息 如 下 。 


隧道 ID 协商 过 程 如 表 5-11 所 示 。 
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隧道 ID 协商 过 程 


BAssigned Tunnel ID AVP 
Mandatory: True 
Hidden: Faise 
















LAC: LNS， 使 用 1 作为 
Tunnel ID 跟 我 通信 吧 和。 Reserved (0) 


ype: Assigned Tunnel ID (9) 


GB Assjgned Tunnel ID AVP 
Mandatory: True 
Hidden: False 

Etength: 8 

Yendor ID: Reserved (0) 


rpe: Assigned Tunnel ID (9) 
| 






NS: OK。LAC， 你 也 用 1 
作为 Tunnel ID 跟 我 通信 


5.5.3 阶段 3 建立 L2TP 会 话 : 3 条 消息 唤醒 虫 油门 神 


LAC 和 LNS 通过 交互 3 条 消息 协商 Session ID， 建 立 L2TP 会 话 。 同 样 ， 我 们 再 复 
习 一 遍 这 个 过 程 ， 抓 包 信 息 如 下 。 









表 5-12 给 出 了 Session ID 协商 过 程 。 
表 5-12 Session ID 协商 过 程 


SB Assigned Session AVP 
Mandatory: True 
Hidden: False 




















|] LAC: LNS, 使 用 4 作为 Session ID 
跟 我 通信 吧 


Length: 8 
Vendor ID: Reserved (0) 


ype: Assigned Session (14) 
[Re sessyon: 4] 


GB Assigned Session AVP 
Mandatory: True 





Hidden: False 
Length: 8 
Vendor ID: Reserved (0) 


ype: Assigned session (14) 
和 


| LNS: OK, LAC, 你 也 使 用 4 作为 
| Session ID 跟 我 通信 吧 


5.5.4 阶段 4~5 LNS 认证 , 分 配 IP 地 址 : LNS 冷静 接受 LAC 
1. LNS 认证 及 二 次 认证 (可 选 ) 
LAC 将 用 户 信 息 发 给 LNS 进行 验证 , 但 LNS 清醒 认识 到 LAC“ 中 介 ” 的 本 来 面目 ， 
对 此 LNS 有 3 种 态度 。 
。 LAC 代理 认证 : 相信 LAC 是 可 靠 的 ， 直 接 对 LAC 发 来 的 用 户 信息 进行 验证 。 
。 强制 CHAP 认证 : 不 相信 LAC， 要 求 重 新 对 用 户 进行 “资格 审查 ”( 强 制 重 新 对 
用 户 进行 CHAP 验证 )。 
。 LCP 重 协商 : 不 仅 不 相信 LAC， 还 对 前 面 签订 的 业务 合同 不 满 ， 要 求 跟 用 户 重 
新 “洽谈 业务 ”( 重 新 发 起 LCP 协商 ， 协 商 MRU 参数 和 认证 方式 )。 
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后 两 种 方式 统称 为 LNS 二 次 认证 ， 若 LNS 配置 二 次 认证 而 PPPoE Client 不 支持 二 
次 认证 , 将 会 导致 L2TP VPN 无 法 建立 。 两 种 二 次 认证 的 共同 特征 是 LNS 都 绕 过 了 LAC 
直接 验证 PPPoE Client 提供 的 用 户 信息 ， 可 以 为 VPN 业务 提供 了 更 高 的 安全 保障 。3 种 
认证 方式 的 配置 方法 如 表 5-13 所 示 。 


表 5-13 配置 NAS-Initiated VPN 的 LNS 认证 部 分 
























LAC 代理 ns 
认证 | 本 党 ， 不 用 卫生 LNS 直接 对 LAC 发 来 的 用 户 信息 进行 验证 , 验证 通过 即 成 
大 功 建立 PPP 连接 
强制 CHAP gor 
认证 i LNS 重新 对 用 户 进 行 CHAP 验证 ，LNS 发 送 挑战 ，PPPoE 
妇女 Client 使 用 挑战 将 用 户 名 和 加 密 后 的 密码 发 给 LNS，LNS 
验证 通过 成 功 建立 PPP 连接 
interface virtual-template 1 
thenticati ode chai 
wd | 有 守候 
12tp-group 1 





mandatory-lcp LNS 重新 发 起 LCP 协商 ， 协 商 MRU 参数 和 认证 方式 ， 然 
后 进行 CHAP 验证 ， 验 证 通过 即 成 功 建立 PPP 连接 


友 代 表 优 先 级 ， 三 种 方式 同时 配置 时 LCP 重 协商 优先 级 最 高 


2. 分 配 IP 地址 
通过 PPP IPCP 协商 ，LNS 为 PPPoE Client 分 配 IP 地 址 。 





- PPP IP Control Protocol 
Code: Configuration Ack (Ox02) 


Identifier: Ox02 
Length: 10 
- Op . 


b 


on 6 _ byte 
IP address: 172.16.0.2 





关于 地 址 池 地 址 的 规划 问题 ， 我 们 在 “5.4 L2TP Client-Initiated VPN” 中 也 讲 过 ， 大 
家 可 以 回顾 一 下 。 

总 结 一 下 NAS-Initiated VPN 隧道 的 特点 ， 如 下 所 示 。 

如 图 5-29 所 示 ， 在 NAS-Initiated VPN 中 ， 一 对 LNS 和 LAC 之 间 可 建立 多 条 隧道 
(每 个 L2TP 组 建立 一 个 )， 每 条 隧道 中 都 可 承载 多 个 会 话 ， 也 就 是 由 每 个 LAC 去 承载 所 
属 分 支 结构 中 所 有 拨号 用 户 的 会 话 ,例如 接 入 用 户 1 与 LNS 之 间 建 立 PPP 连接 1 和 L2TP 
会 话 1， 接 入 用 户 2 与 LNS 之 间 建 立 PPP 连接 2 和 L2TP 会 话 2。 当 一 个 用 户 拨号 后 ， 
触发 LAC 和 LNS 之 间 建 立 隧道 。 只 要 此 用 户 尚未 下 线 ， 则 其 余 用 户 拨 号 时 ， 会 在 已 有 
隧道 基础 上 建立 会 话 ， 而 并 非 重新 触发 建立 隧道 。 
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接 入 用 户 1 
窜 





PPPoE 拨号 


一 一 一 一 一 


PPP 连接 1 





PPP 连接 2 


图 5-29 NAS-Initiated VPN 中 L2TP 隧道 、 会 话 跟 PPP 连接 的 关系 


5.5.5 阶段 6 数据 封装 传输 : 一 路 畅通 


PPPoE Client 访问 总 部 服务 器 的 报 文 到 达 LAC 后 ，LAC 为 报 文 穿 上 三 层 “ 马 甲 ”， 
即 L2TP 头 、UDP 头 和 公 网 全 头 ， 然 后 发 送 到 LNS。LNS 收 到 报 文 后 ， 脱 去 这 三 层 “ 马 
甲 ?， 将 报 文 转发 至 内 网 服务 器 。 





TIT，sSrc: 00:00:00_72:e7:01 (00:00: :01). 
田 Internet prorocol, SE TT Dav E12 一 
田 User Datagram Protocol, Src Pot: a 60416), Dst Port: 12f (1701) 
Layer 2 Tunneling Protocol : 
Point-to-Point Protocol 
Internet Protocol, src: 172. 16.0.2 G7z.16.0.2， Dst: 192.168.0.2 ENR 
田 InEernet Control Message Protocol 


NAS-Initiated VPN 场景 下 ， 报 文 的 封装 和 解 封装 的 过 程 如 图 5-30 所 示 。 


接 入 用 户 LAC 


LNS 内 网 服务 器 
(PPPoE Client) (PPPoE Server) L2TP 隧道 





Pa PPPoE 解 封装 ”L2TP 封装 


L2TP 解 封 装 


PPpP 解 封装 以 太 封装 以 太 解 封装 


5-30 NAS-Initiated VPN 报 文 封装 过 程 
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与 Client-Initiated VPN 相同 ，NAS-Initiated VPN 场景 中 ，LNS 也 会 为 获得 私 网 卫 
地 址 的 PPPoE Client 自动 下 发 了 一 条 主机 路 由 (UNR 路 由 )， 用 于 指导 内 网 服务 器 到 
PPPoE Client 的 回程 报 文 进入 隧道 。 


5.5.6 ”安全 策略 配置 思路 


相 比 Client-Initiated VPN，NAS-Initiated VPN 的 安全 策略 配置 要 更 麻烦 一 些 ， 因 为 
在 LAC 和 LNS 上 都 要 配置 ， 但 配置 思路 是 相似 的 。 

如 图 5-31 所 示 ， 我 们 假设 在 LAC 上 ，GE0/0/2 接口 连接 Internet， 属 于 Untrust 区 域 。 
在 LNS 上 ，GE0/0/1 接口 连接 私 网 ， 属 于 Trust 区 域 ，GE0/0/2 接口 连接 Internet， 属 于 
Untrust 区 域 ，VT 接口 属于 DMZ 区 域 。LNS 为 PPPoOE Client 分 配 的 下 地 址 为 172.16.0.2。 






172.16.0.2 


GE0/0/1 人 Rn 
wp 
~ 


PPPoE Client CppPoE Server) LN 
5-31 NAS-Initiated VPN 安全 策略 配置 组 网 图 
安全 策略 的 配置 过 程 如 下 。 


(1) 我 们 先 配置 一 个 最 宽泛 的 域 间 安 全 策略 ， 以 便 调 测 L2TP VPN。 
在 LAC 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 beens 
[LAC] firewall packet-filter default permit all “ 
在 LNS 上 将 域 间 缺 省 他 二 小 取 动作 说 肌 为 Demmit 
[LNS] firewall packet-filtet default permit all 
(2) LAC 和 LNS 上 配置 好 L2TP 后 ， 在 PPPoE Client 下 ping 内 网 服务 器 ， 然后 在 
LAC 和 LNS 上 查看 会 话 表 。 
。 LAC 上 的 会 话 表 


[LAC] display firewall session tableverbose 







:02:00 Left: 00:01:52 





packets: en26 yes poate bcso00 





分 析 会 话 表 得 到 LAC 上 的 报 文 走向 ， 如 图 5-32 所 示 。 

LAC 上 没有 ICMP 会 话 ， 只 有 一 条 L2TP 会 话 。 所 以 LAC 上 需要 配置 Local 区 域 一 > 
Untrust 区 域 的 安全 策略 ， 人 允许 LAC 与 LNS 建立 L2TP 隧道 。 而 PPPoE Client 访问 内 部 
服务 器 的 报 文 ， 会 被 封装 到 PPPoE 报 文中 ，LAC 收 到 PPPoE 报 文 后 直接 封装 到 
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L2TP 报 文中 ， 进 入 L2TP 隧道 ， 不 受 安全 策略 的 控制 。 因 此 在 LAC 上 只 需 配置 Local 
区 域 一 >Untrust 区 域 的 安全 策略 。 


L2TP 隧道 





PPPoE Client 
私 网 IP: 172.160.2/24 


LAC 


图 5-32 LAC 上 的 报 文 走向 
。 LNS 的 会 话 表 
















LNS 上 有 两 条 会 话 ， 一 条 L2TP 会 话 , 一 条 ICMP 会 话 。 分 析 会 话 表 得 到 LNS 上 的 
报 文 走向 ， 如 图 5-33 所 示 。 


内 网 服务 器 
192.168.0.2/24 


LNS 


一 -一 > PPPoE Client 访问 内 网 服务 器 的 原始 报 文 
----- 和 L2TP 报 文 


图 5-33 LNS 上 的 报 文 走向 


由 上 图 可 知 ，LNS 上 需要 配置 DMZ 区 域 一 >Trust 区 域 的 安全 策略 ， 人 允许 PPPoE 
Client 访问 内 网 服务 器 的 报 文通 过 ; 还 需要 配置 Untrust 区 域 一 >Local 区 域 的 安全 策略 ， 
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允许 LAC 与 LNS 建立 L2TP 隧道 。 

L2TP 隧道 建立 后 , 内 网 服务 器 向 PPPoE Client 发 起 访问 时 , 报 文 走向 与 PPPoE Client 
访问 服务 器 时 的 走向 相反 ， 不 再 赣 述 。 

综 上 所 述 ，LAC 和 LNS -语汇 生生 的 实生 染 隔 轩 阳 苦 伯 如 表 5-14 所 示 ， 我 们 按照 
表 中 的 匹配 条 件 配置 精确 的 安全 策略 。 


表 S-14 LAC 和 LNS 的 的 安全 策略 匹配 条 件 






PPPoE 







Client 访 172.16.0.2~ 
问 服务 器 下 172.16.0.100 192.168.0.0/24 
(地 址 池 地 址 ) 





















Re | om 172.16.0.2~ 

问 PPPoE DMZ 192.168.0.0/24 172.16.0.100 * 
Client (地 址 池 地 址 》 

*; 此 处 的 应 用 ej 可 以 根据 实际 情况 配置 ， 如 tcp、udp、icmp 等 

[0 说 明 


该 场景 中 ，LNS 只 是 被 动 接收 LAC 建立 隧道 的 请 求 ， 并 不 会 主动 向 LAC 发 起 建立 隧 
道 的 请 求 ， 所 以 在 LNS 上 针对 L2TP 隧道 只 需 配置 Untrust-->Local 的 安全 策略 。 


可 见 ， 在 NAS-Initiated 方式 的 L2TP VPN 中 ，LNS 上 的 VT 接口 必须 加 入 安全 区 
域 ， 而且 VT 接口 所 属 的 安全 区 域 决定 了 报 文 在 设备 内 部 的 走向 。 如 果 VT 接口 属于 
Trust 区 域 ， 那 就 不 需要 配置 DMZ<--->Trust 的 安全 策略 ， 但 这 样 会 带 来 安全 风险 。 因 此 
建议 将 VT 接口 加 入 到 单独 的 安全 区 域 ， 然 后 配置 带 有 精确 匹配 条 件 的 安全 策略 。 

(3) 最 后 ， 将 缺 省 包 过 滤 的 动作 改 为 deny。 

在 LAC 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 deny。 
[LAC] firewall packet-filter default deny al 

在 LNS 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 deny。 

TILNS] firewall packet-filter default deny all 

NAS-Initiated VPN 中 ， 分 支 机 构 用 户 必须 拨号 才能 使 用 L2TP VPN， 报 文 还 要 封装 
成 PPPOE， 太 麻烦 了 。 况 且 拨 号 网 络 逐 渐 消 失 ， 以 太 网 一 统 江湖 ， 分 支 机 构 用 户 就 不 能 
直接 在 以 太 网 上 访问 总 部 网 络 吗 ?当然 可 以 ， 人 类 偷懒 的 需求 才 是 科技 进步 的 原动力 。 
下 节 强 叔 就 为 大 家 介绍 LAC-Auto-Initiated VPN， 由 LAC 自动 拨号 到 LNS， 省 去 了 分 支 
机 构 员 工 拨 号 的 过 程 ， 堪 称 最 省 事 的 L2TP VPN.。 


5.6 L2TP LAC-Auto-lnitiated VPN 


LAC-Auto-Initiated VPN 也 叫 作 LAC 自动 拨号 VPN， 顾 名 思 义 ， 在 LAC 上 配置 完 
成 后 ，LAC 会 自动 向 LNS 发 起 拨号 ， 建 立 L2TP 隧道 和 会 话 , 不 需要 分 支 机 构 用 户 拨 号 
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来 触发 。 对 于 分 支 机 构 用 户 来 说 , 访问 总 部 网 络 就 跟 访问 自己 所 在 的 分 支 机 构 网 络 一 样 ， 
完全 感觉 不 到 自己 是 在 远程 接 入 。 但 是 这 种 方式 下 LNS 只 对 LAC 进行 认证 ， 分 支 机 构 
用 户 只 要 能 连接 LAC 即 可 以 使 用 L2TP 隧道 接 入 总 部 ， 与 NAS-Initiated VPN 相 比 安全 
性 要 差 一 些 。 


5.6.1 LAC-Auto-lnitiated VPN 原理 及 配置 


如 图 5-34 所 示 ，LAC-Auto-Initiated VPN 的 建立 过 程 与 Client-Initiated VPN 类 似 ， 
只 不 过 在 LAC-Auto-Initiated VPN 中 , LAC 取代 了 Client-Initiated VPN 中 L2TP Client 的 
和 角色。 


LAC LNS 内 网 服务 器 





5-34 LAC-Auto-Initiated VPN 建立 过 程 


各 个 阶段 的 建立 过 程 与 Client-Initiated VPN 的 建立 过 程 大 同 小 异 ， 大 家 可 以 温习 
“5.4 L2TP Client-Initiated VPN”， 强 叔 在 这 里 就 不 多 说 了 。 需 要 注意 的 一 点 是 ， 在 阶段 3 
中 ，LNS 只 对 LAC 进行 验证 ， 验 证 通过 后 为 LAC 的 VT 接口 分 配 他 地址， 而 不 是 为 分 
支 机 构 用 户 分 配 人 P 地 址 。 虽 然 LNS 不 为 分 支 机 构 分 配 IP 地 址 ， 但 是 并 不 代表 分 支 机 构 
的 卫 地 址 可 以 随意 配置 。 为 了 保证 分 支 机 构 网 络 与 总 部 网 路 之 间 正 常 访 问 ， 请 为 分 支 机 
构 网 络 和 总 部 网 络 规划 各 自 独 立 的 私 网 网 段 ， 要 求 二 者 的 网 段 地 址 不 能 重 和合 。 

LAC-Auto-Initiated VPN 的 配置 也 不 复杂 ， 我 们 搭建 图 5-35 所 示 的 网 络 。 


LNS 


分 支 机 构 用 户 LAC 地 址 池 : 10.1.12 内 网 服务 器 
172.16.02 VT 接口 人 P:10.1.1.1 192.168.0.2 
密 









172.16.0.1/24 了 


i 





1.1.1.1/24 





1.1.1.2/24 192.168.0.1/24 





分 支 机 构 公司 总 部 
图 5-35 LAC-Auto-Initiated VPN 组 网 
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LAC 和 LNS 的 配置 如 表 5-15 所 示 ， 为 突出 重点 ，LAC、LNS、 内 网 服务 器 之 
间 都 是 直 连 ， 省 去 了 路 由 配置 。 用 户 认证 也 采用 了 比较 简单 的 本 地 认证 。 另 外 ， 分 
支 机 构 用 户 和 内 网 服务 器 上 都 要 配置 网 关 ， 保 证 双方 互 访 的 报 文 能 够 发 送 到 LAC 
和 LNS。 


表 5-15 配置 L2TP LAC-Auto-Initiated VPN 






















12tp enable 
12tp-group 1 

tunnel authentication 

tunnel password cipher Password1 

tunnel name lac 

start 12tp ip 1.1.1.2 fullusername lac // 指 定 隧道 对 端 地 址 
interface Virtual-Template 1 

ppp authentication-mode chap 

ppp chap user lac 

ppp chap password cipher Password1l 

ip address ppp-negotiate 

call-lns local-user lac binding 12tp-group 1  //LAC 向 LNS 
发 起 拨号 
ip route-static 192.168.0.0 255.255.255.0 Virtual-Template 1 
// 配 置 去 往 总 部 网 络 的 静态 路 由 ， 此 处 与 Client-Initiated 
VPN 以 及 NAS-Initiated VPN 不 同 ，LAC 上 必须 配置 该 条 
路 由 ， 指 引 分 支 机 构 用 户 访问 总 部 网 络 的 报 文 进入 L2TP 
隧道 


12tp enable 
interface Virtual-Template 1 

PPpp authentication-mode chap 

ip address 10.1.1.1 255.255.255.0 

remote address pool 1 
12tp-group 1 

tunnel authentication 

tunnel password cipher Password1 

allow 12tp virtual-template 1 remote lac /允许 远 端 接 入 
aaa 

local-user lac password Password1l 

local-user lac service-type ppp 

ip pool 1 10.1.1.2 ”// 由 于 LNS 只 为 LAC 分 配 地 址 ， 因 此 
地 址 池 中 只 需 配 置 一 个 卫 地 址 
ip route-static 172.16.0.0 255.255.255.0 Virtual-Template 1 
// 配 置 去 往 分 支 机 构 网 络 的 静态 路 由 ， 如 果 LAC 上 配置 了 
源 NAT， 则 无 需 配置 该 条 路 由 ， 详 细 情 况 后 文 介绍 


总 结 一 下 LAC-Auto-Initiated VPN 隧道 的 特点 ， 如 下 所 示 。 
如 图 5-36 所 示 , LAC-Auto-Initiated VPN 场景 中 , LAC 和 LNS 之 间 建 立 一 条 永久 的 
隧道 ， 且 仅 承 载 一 条 永久 的 L2TP 会 话 和 PPP 连接 。L2TP 会 话 和 PPP 连接 只 存在 于 


LAC 和 LNS 之 间 。 






rr 
‘ww 


分 支 机 构 用 户 LAC LNS 内 网 服务 器 
: 永久 的 L2TP 隧道 : 


图 5-36 LAC-Auto-Initiated VPN 中 L2TP 隧道 、 会 话 跟 PPP 连接 的 关系 


LAC-Auto-Initiated VPN 的 PPP 封装 和 L2TP 封装 仅 限 于 LAC 和 LNS 之 间 的 报 文 交 
互 ， 如 图 5-37 所 示 。 
另外 ， 还 有 一 个 需要 重点 关注 的 问题 是 回程 报 文 如 何 进入 隧道 。 与 Client-Initiated 
VPN 以 及 NAS-Initiated VPN 不 同 ， 在 LAC-Auto-Initiated VPN 中 ，LNS 只 下 发 了 一 条 目 
的 地 址 为 LAC 的 VT 接口 地 址 的 UNR 路 由 ， 并 没有 去 往 分 支 机 构 网 络 的 路 由 。 对 此 
LNS 振 振 有 词 :“ 我 只 对 我 分 配 出 去 的 IP 地 址 负责 ， 所 以 保证 可 以 到 达 对 端 LAC 的 
VT 接口 。 分 支 机 构 网 络 的 地 址 不 是 我 分 配 的 ， 我 甚至 都 不 知道 它们 的 地 址 是 什么 ， 基 
此 只 能 说 抱歉 。?” 
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分 支 机 构 用 户 LAC LNS 


、 





PPP 封装 L2TP 
L2TP 封装 PPP es 


5-37 ”LAC-Auto-Initiated VPN 报 文 封装 过 程 


那么 如 何 解决 这 个 问题 呢 ? 最 简单 方法 就 是 在 LNS 手动 配置 一 条 去 往 分 支 机 构 网 
络 的 静态 路 由 ， 指 引 回 程 报 文 进入 隧道 。 

[LNS] ip route-static 172.16.0.0 255.255.255.0 Virtual-Template 1 、 

除了 配置 静态 路 由 之 外 ， 还 有 没有 其 他 方法 呢 ? 强权 突然 灵光 一 现 ， 还 记得 我 
们 之 前 讲 过 的 NAT 吧 ! 既然 LNS 只 认 它 分 配 的 IP 地 址 ， 那 我 们 就 在 LAC 上 配置 
源 NAT 功能 ,把 分 支 机 构 用 户 访问 总 部 网 络 报 文 的 源 地 址 都 转换 成 VT 接 口 的 地 址 ， 
即 Easy-IP 方式 的 源 NAT。LNS 收 到 回程 报 文 后 ， 发 现 目 的 地 址 是 LAC 的 VT 接 
口 的 IP 地 址 ， 就 会 按照 直 连 路 由 进入 隧道 转发 ， 这 样 就 无 需 在 LNS 上 配置 静态 路 
由 了 。 

如 图 5-38 所 示 ， 下 面 强 叔 就 以 实际 组 网 为 例 ， 介 绍 一 下 LAC 上 配置 了 源 NAT 后 ， 
分 支 机 构 用 户 访问 总 部 服务 器 时 的 报 文 封装 与 解 封装 全 过 程 如 下 。 

(1) LAC 收 到 分 支 机 构 用 户 访问 总 部 服务 器 的 原始 报 文 后 ， 根 据 目 的 地 址 查找 路 由 ， 
命中 我 们 手动 配置 的 静态 路 由 ， 将 报 文 发 送 至 VT 接口 。 

(2) LAC 在 VT 接口 对 原始 报 文 进行 NAT 转换 ， 将 源 地 址 转换 成 VT 接口 的 地 址 ， 
然后 为 报 文 封装 PPP 头 、L2TP 头 和 公 网 地 址 。LAC 根据 公 网 目的 地 址 查找 路 由 ， 将 封 
装 后 的 报 文 发 送 至 LNS。 

(3) LNS 收 到 报 文 后 ， 剥 离 掉 PPP 头 、L2TP 头 ， 根 据 目 的 地 址 查找 路 由 《〈 此 处 为 
直 连 路 由 )， 然 后 将 报 文 发 送 至 总 部 服务 器 。 

(4) LNS 收 到 总 部 服务 器 的 回程 报 文 后 ， 根 据 目 的 地 址 查找 路 由 ， 命 中 LNS 自动 
下 发 的 路 由 ， 将 报 文 发 送 至 VT 接口 。 

(5) 报 文 在 VT 接口 封装 PPP 头 、L2TP 头 和 公 网 地 址 ，LNS 根据 公 网 目的 地 址 查 
找 路 由 ， 将 封装 后 的 报 文 发 送 至 LAC。 

(6) LAC 收 到 报 文 后 ， 剥 离 掉 PPP 头 、L2TP 头 ， 将 报 文 的 目 Wi 
构 用 户 的 地 址 ， 然 后 将 报 文 发 送 至 分 支 机 构 用 户 。 
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LAC 


VT: 101.12 LAC 
分 支 机 构 用 户 静态 路 由 : 192.168.0.0 24 一 > VT] 
172.16.02 源 NAT 直 连 路 由 : 10.1.1.2 32 一 > VTI1 192 168.02 






















窜 艾 1111/24 1.1.12/24 
圾 。 原始 报 文 NAT 转换 +PPP 封装 +L2TP 封装 PPP 解 封装 ++L2TP 解 封装 解 封装 后 报 文 
» » » 










公 网 源 IP:1.1.1.1 公 网 源 IP:1.1.1.1 
公 网 目的 IP:1.1.1.2 公 网 目的 IP:1.1.1.2 


PPP 解 封装 +L2TP 解 封装 + 匹配 会 按照 直 连 路 由 进入 VT 接口 
解 封 转 后 报 文 话 表 进行 NAT 转换 PPP 封装 +L2TP 封装 全 回程 报 文 




















从 人 《人 










图 5-38 LAC 上 配置 了 源 NAT 后 ，LAC-Auto-Initiated VPN 报 文 封装 过 程 


在 LAC 上 配置 Easy-IP 方式 源 NAT 的 示例 如 下 (假设 在 LAC 上 连接 分 支 机 构 网 络 
的 接口 属于 Trust 区 域 ，VT 接口 属于 DMZ 区 域 )。 


[LAC] nat-policy interzone trust dmz outbound 
[LAC-nat-policy-interzone-trust-dmz-outbound] policy 1 
[LAC-nat-policy-interzone-trust-dmz-outbound-1] policy source 172.16.0.0 0.0.0.255 
[LAC-nat-policy-interzone-trust-dmz-outbound-1] action source-nat 
[LAC-nat-policy-interzone-trust-dmz-outbound-1] easy-ip Virtual-Template 1 


5.6.2 ”安全 策略 配置 思路 


LAC-Auto-Initiated VPN 中 安全 策略 的 总 体 配置 思路 与 前 面 两 节 介绍 过 的 配置 思路 
基本 相同 ， 这 里 我 们 简要 介绍 一 下 。 

如 图 5-39 所 示 ， 我 们 假设 在 LAC 和 LNS 上 ，GE0/0/1 接口 连接 私 网 ， 属 于 Trust 
区 域 ，GE0/0/2 接口 连接 Internet， 属 于 Untrust 区 域 ，VT 接口 属于 DMZ 区 域 。 

安全 策略 的 配置 过 程 如 下 。 

(1) 我 们 先 配 置 一 个 最 宽泛 的 域 间 安全 策略 ， 以 便 调 测 L2TP VPN。 

在 LAC 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 permit。 

[LAC] firewall packet-filter default permit all 

在 LNS 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 permit。 


[LNS] firewall packet-filter default permit all 
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VTI1 
10.1.1.1/24 





2 LNS 
图 5-39 LAC-Auto-Initiated VPN 安全 策略 配置 组 网 图 


(2) LAC 和 LNS 上 配置 好 L2TP 后 ， 分 支 机 构 用 户 ping 内 网 服务 器 发 起 访问 时 ， 
然后 在 LAC 和 LNS 上 查看 会 话 表 。 
。 LAC 上 的 会 话 表 









: GigabitEthernet0/0/2 
a ->pack62 byes:4270 


i re i 、 
Zone: trust-> dmz TTL: 00:00:20 Left: 00:00:07 
nterfhoe. Vitaal Templatel NextHop: 192.168.0.2 MAC: 00-00-00-c5-48-00 
， ea Woo ol 






L2TP 隧道 


分 支 机 构 用 户 
私 网 P: 172.16.0.2/24 


LAC 


一 -一 分 支 机 构 用 户 访问 内 网 服务 器 的 原始 报 文 


图 5-40 LAC 上 的 报 文 走向 


由 上 图 可 知 ，LAC 上 需要 配置 Trust 区 域 一 >DMZ 区 域 的 安全 策略 ， 人 允许 分 支 机 构 
用 户 访 问 内 网 服务 器 的 报 文通 过 ; 还 需要 配置 Local 区 域 一 >Untrust 区 域 的 安全 策略 ， 
允许 LAC 与 LNS 建立 L2TP 隧道 。 
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e LNS 的 会 话 表 





LNS 上 有 两 条 会 话 ， 一 条 L2TP 会 话 ， 一 条 ICMP 会 话 。 分 析 会 话 表 得 到 LNS 上 的 
报 文 走 向 ， 如 图 5-41 所 示 。 


L2TP 隧道 





内 网 服务 器 
192.168.0.2/24 


LNS 


一 -一 > 分 支 机 构 用 户 访问 内 网 服务 器 的 原始 报 文 
ne 和 L2TP 报 文 


5-41 LNS 上 的 报 文 走向 


由 上 图 可 知 ，LNS 上 需要 配置 DMZ 区 域 一 >Trust 区 域 的 安全 策略 ， 人 允许 分 支 机 构 
用 户 访问 内 网 服务 器 的 报 文通 过 ; 还 需要 配置 Untrust 区 域 一 >Local 区 域 的 安全 策略 ， 
允许 LAC 与 LNS 建立 L2TP 隧道 。 

L2TP 隧道 建立 后 ，PC 向 服务 器 发 起 访问 时 ， 报 文 走向 与 服务 器 访问 PC 时 的 走向 
相反 ， 不 再 赣 述 。 

综 上 所 述 ，LAC 和 LNS 上 应 该 配置 的 安全 策略 匹配 条 件 如 表 5-16 所 示 ， 我 们 按照 
表 中 的 匹配 条 件 配置 精确 的 安全 策略 。 


表 5-16 LAC 和 LNS 的 安全 策略 匹配 条 件 


| Local | Untust | 132 | 1112/32 | 
一 ms DM 172.16.0.0/24 | 192. ns 


172.16.0.0/24 | 192.168.0.0/24 
服务 器 192.168.0.0/24 | 172.16.0.0/24 
访问 PC 192.168.0.0/24 | 172.16.0.0/24 


*#: 此 处 的 应 用 与 具体 的 业务 类 型 有 关 ， 可 以 根据 实际 情况 配置 ， 如 tcp、udp、icmp 等 

















PC 访问 服 
务 器 
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可 见 ， 在 LAC 自动 拨号 方式 的 L2TP 场景 中 ，LAC 和 LNS 上 的 VT 接口 必须 加 入 
安全 区 域 ， 而 且 VT 接口 所 属 的 安全 区 域 决定 了 报 文 在 设备 内 部 的 走向 。 如 果 VT 接口 
属于 Trust 区 域 ， 那 就 不 需要 配置 DMZ<--->Trust 的 安全 策略 ， 但 这 样 会 带 来 安全 风险 。 
因此 建议 将 VT 接口 加 入 到 单独 的 安全 区 域 ， 然 后 配置 带 有 精确 匹配 条 件 的 安全 策略 。 

(3) 最 后 ， 将 缺 省 包 过 滤 的 动作 改 为 deny。 

在 LAC 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 deny。 

[LAC] firewall packet-filter default deny all 


在 LNS 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 4 deny。 


[LNS] firewall packet-filter default deny all 


5.7 总 结 


至 此 , 强 叔 用 三 节 的 篇 幅 介 绍 了 三 种 L2TP VPN, 下 面 我 们 再 来 对 这 三 种 L2TP VPN 
做 一 下 总 结 ， 如 表 5-17 所 示 。 


表 5-17 二 得 L2TP VPN SE 















LAC-Auto-Initiated VPN 


















接 入 用 户 使 用 PPPoE 拨号 
触发 LAC 和 LNS 之 间 协 
商 建 立 L2TP 隧道 和 L2TP 
会 话 , 接 入 用 户 和 LNS 协 
商 建立 PPP 连接 


LAC 和 LNS 之 间 可 存在 
L2TP 隧道 中 可 承载 多 条 
L2TP 会 话 
LAC 对 接 入 用 户 进行 认证 ， 
LNS 对 接 入 用 户 进行 二 次 
认证 (可 选 )， 安 全 性 最 高 
LNS 上 会 自动 下 发 UNR 
路 由 ， 指 导 回 程 报 文 进入 | 路 由 ， 指 导 回 程 报 文 进入 
L2TP 隧道 , 无 需 手动 配置 | L2TP 隧道 , 无 需 手动 配置 


LNS 为 Client 分 配 卫 地 址 | LNS 为 Client 分 配 他 地 址 


至 此 ，L2TP VPN 就 告 一 段落 了 ， 需 要 注意 的 是 ， 无论 是 哪 种 方式 的 L2TPVPN， 都 
不 支持 加 密 功 能 ， 因 此 数据 在 隧道 传输 过 程 中 面临 安全 风险 。 如 何 解决 这 个 问题 ? 大 家 
在 学 习 了 功能 强大 配置 复杂 安全 性 高 的 IPSec VPN 之 后 ， 一 定 能 得 到 答案 。 










L2TP Client 和 LNS 协商 
建立 L2TP 隧道 和 L2TP 
会 话 、 建 立 PPP 连接 . 


LAC 主动 拨号 ， 和 LNS 协商 
建立 L2TP 隧道 和 L2TP 会 话 、 
建立 PPP 连接 


协商 方式 














每 个 L2TP Client 和 LNS 
之 间 均 建立 一 条 L2TP 隧 
道 ， 每 条 隧道 中 仅 承 载 一 
条 L2TP 会 话 和 PPP 连接 


LNS 对 L2TP Client 进行 
PPP 认证 (PAP 或 CHAP)， 
安全 性 较 高 


LNS 上 会 自动 下 发 UNR 


LAC 和 LNS 之 间 建 立 一 条 永 
久 的 L2TP 隧道 ， 且 仅 承载 一 
条 永久 的 L2TP 会 话 和 PPP 
连接 
LAC 不 对 用 户 进行 认证 ，LNS 
对 LAC 配 置 的 用 户 进行 PPP 认 
证 (PAP 或 CHAP)， 安 全 性 低 


LNS 上 需要 手动 配置 目的 地 
址 为 网 段 的 静态 路 由 , 或 者 在 
LAC 上 配置 easy-IP 方式 的 源 
NAT 


LNS 为 LAC 的 VT 接口 分 配 
IP 地 址 


隧道 和 会 














回程 路 由 








强权 提问 
1. GRE 报 文 外 层 IP 头 中 的 源 地 址 和 目的 地 址 是 Tunnel 口 的 I 了 P 地 址 吗 ? 
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2. 在 L2TP VPN 中 ，NAS-Initiated VPN 和 Client-Initiated VPN 这 两 个 场景 的 主要 
区 别 是 什么 ? 

3. 在 L2TP Client-Initiated VPN 中 ， 一 般 建 议 把 地 址 池 地 址 和 总 部 网 络 地 址 规划 为 
不 同 的 网 段 ， 如 果 把 地 址 池 地 址 和 总 部 网 络 地 址 配置 为 同一 网 段 ， 需 要 做 什么 处 理 ? 

4. 在 L2TP Client-Initiated VPN 中 ，LNS 如 何 保证 总 部 中 内 网 服务 器 的 回应 报 文 能 
够 进入 L2TP 隧道 返回 至 L2TP Client? 

5. 在 L2TPNAS-Initiated VPN 中 ，LNS 对 接 入 用 户 的 认证 方式 有 哪 几 种 ? 





第 6 全 
IPSec VPN 





6.1 IPSec 简介 
6.2 手工 方式 IPSec VPN 
6.3 IKE 和 ISAKMP 


6.4 IKEv1 

6.5 IKEv2 

6.6 IKE/IPSec 对 比 

6.7 IPSec 模板 方式 

6.8 NAT 穿 越 

6.9 数字 证 书 认证 

6.10 GRE/L2TP over IPSec 
6.11 对 等 体检 测 

6.12 ”IPSec 双 链 路 备份 
6.13 ”安全 策略 配置 思路 
6.14 IPSec 故障 排除 
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6.1 IPSec 简介 


随 着 GRE 和 L2TP 的 广泛 应 用 ， 民 间 组 织 天 地 会 也 与 时 俱 进 , 在 总 舵 和 各 个 分 舵 之 
间 部 署 了 GRE 和 L2TP。 总 舵 和 分 舵 使 用 GRE 隧道 和 L2TP 隧道 传递 消息 ， 互 通 有 无 ， 
反 清 复明 事业 开展 得 如 火 如 禁 。 但 好 景 不 长 ， 总 艇 和 分 舵 之 间 传 递 的 机 密 信息 被 官府 查 
获 ， 分 舵 的 堂 主 帮 众 悉数 被 抓 ， 一 时 间 Internet 上 暗潮 测 涌 ， 天 地 会 危机 四 伏 。 

事 关 帮派 存亡 , 陈 总 舵 主 赶忙 召集 会 议 商 讨 对 策 , 究 其 原因 , 无 论 是 GRE 还 是 L2TP， 
建立 的 隧道 都 没有 任何 安全 加 密 措 施 , 总 艇 和 分 舵 之 间 的 消息 在 GRE 隧道 或 L2TP 隧道 
中 都 是 明文 传输 ， 机 密 信 息 很 容易 就 被 官府 获取 。 如 何 保 证 信息 安全 传输 是 摆 在 天 地 会 
面前 的 一 道 难题 ， 购 买 专线 是 个 解决 方法 ， 但 由 于 四 十 二 章 经 中 的 宝藏 还 未 找到 ， 天 地 
会 的 财力 不 足以 措 建 总 舵 到 各 个 分 舵 的 专线 ， 所 以 还 得 利用 现 有 的 公共 资源 一 一 Internet 

遍 访 高 人 之 后 ， 天 地 会 终于 找到 了 解决 问题 之 道 , IPSec (IP Security)。 作 为 新 一 代 
的 VPN 技术 , IPSec 可 以 在 Internet 上 建立 安全 稳定 的 专用 线路 。 与 GRE 和 L2TP 相 比 ， 
IPSec 更 加 安全 ， 能 够 保证 总 舵 与 分 舵 之 间 消 息 的 安全 传输 。 


6.1.1 加 密 和 验证 


要 说 这 IPSec 可 不 简单 ， 它 不 是 一 个 单一 的 招式 ， 而 是 一 整套 招 法 。IPSec 巧妙 借用 
了 密码 学 门派 所 擅长 的 易 容 障 眼 之 法 ， 融 会 到 自 创 的 AH (Authentication Header， 验 证 
头 ) 和 ESP (Encapsulating Security Payload， 封 装 安全 载荷 ) 两 大 绝技 中 ， 既 可 改 头 换 
面 瞒天过海 ， 也 能 验 明 正身 完 壁 归 赵 。 即 便 消 息 被 截获 了 也 没 人 能 看 懂 ， 被 自 改 了 也 能 
及 时 发 现 。 

1 改头换面， 瞒天过海 一 加密 

如 图 6-1 所 示 ，IPSec 借用 了 易 容 术 的 巧妙 之 处 ， 一 方 传递 消息 之 前 ， 先 使 用 加 密 算 
法 和 加 密 密 钥 ， 将 消息 改头换面 ， 该 过 程 称 为 加 密 。 另 一 方 收 到 消息 后 ， 使 用 相同 的 加 
密 算法 和 加 密 密 钥 ， 首 向 将 消息 恢复 为 真实 面貌 ， 该 过 程 称 为 解密 。 而 消息 在 传递 过 程 
中 绝 不 以 真 容 示 人 ， 令 窃 密 者 一 无 所 获 。 


目的 


对 称 加 密 密 钥 





图 6-1 报 文 加 密 /解密 示意 图 
当天 地 会 的 总 能 和 分 舵 需 要 互通 消息 时 ， 双 方 事先 商议 好 相同 的 加 密 算 法 和 加 密 密 
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钥 , 假设 总 舵 要 向 分 舵 发 布 命 令 “ 八 月 十 五 ， 太 湖岸 边 ， 共 举 大 事 ”， 总 舵 先 使 用 颠 三 倒 
四 加 密 算 法 ， 将 文字 颠倒 位 置 ， 然 后 再 将 加 密 密 钥 “ 反 清 复明 ”插入 其 中 ， 加 密 后 的 命 
令 最 终 变 成 “ 反 十 五 太湖 清 岸 边 共 举 复 大 事 八 月 明 ” 这 样 的 一 段 消息 ， 然 后 传递 出 去 。 
即使 该 消息 在 路 上 被 官府 截获 ， 也 会 让 官府 看 的 一 头 雾 水 ， 不 会 发 现任 何 蛛丝马迹 。 而 
分 舵 收 到 消息 后 ， 使 用 相同 的 颠 三 倒 四 算法 和 解密 密 钥 “ 反 清 复明 ” 便 可 将 消息 恢复 成 
原始 的 命令 “ 八 月 十 五 ， 太 湖岸 边 ， 共 举 大事 ”。 

总 艇 和 分 舵 使 用 相同 的 密 钥 来 加 密 和 解密 ， 这 种 方式 也 叫 对 称 加 密 算法 ， 主 要 包括 
DES、3DES 和 AES， 三 种 算法 的 对 比如 表 6-1 所 示 。 


表 6-1 对 称 加 密 算法 


Data Encryption Triple Data Encryption 
Standard Standard 







Encryption 









Advanced 


Standard 





安全 级 别 


2， 验 明正 身 ， 完 壁 归 赵 一 “验证 
报 文 验证 过 程 如 图 6-2 所 示 ， 一 方 传递 消息 之 前 ， 先 使 用 验证 算法 和 验证 密 钥 对 消 
息 进行 处 理 ， 得 到 签字 画 押 的 文书 ， 即 签名 。 然 后 将 签名 随 消息 一 同 发 出 去 。 另 一 方 收 
到 消息 后 ， 也 使 用 相同 的 验证 算法 和 验证 密 钥 对 消息 进行 处 理 ， 同 样 得 到 签名 ， 然 后 比 
对 报 文中 携带 的 签名 ， 如 果 相 同 则 证 明 该 消息 没有 被 算 改 。 
源 目的 


对 称 验证 密 钥 


6-2 ” 报 文 验证 示意 图 


除了 对 消息 的 完整 性 进行 验证 ，IPSec 还 可 以 对 消息 的 来 源 进 行 验证 ， 即 验 明 消息 
的 正身 ， 保 证 消息 来 自 真 实 的 发 送 者 。 

通常 情况 下 ， 验 证 和 加 密 配合 使 用 ， 加 密 后 的 报 文 经 过 验证 算法 处 理 生成 签名 。 常 
用 的 验证 算法 有 MD5 和 SHA 系列 ， 两 种 算法 对 比如 表 6-2 所 示 。 
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ed 


Message Digest 5 


IPSec 的 两 大 绝技 中 ，AH 只 能 用 来 验证 ， 没 有 加 密 的 功能 ， 而 ESP 同时 具有 加 密 
和 验证 的 功能 ，AH 和 ESP 可 以 单独 使 用 也 可 以 配合 使 用 。 


6.1.2 ”安全 封装 


天 地 会 不 能 将 反 清 复明 的 招牌 挂 于 明 处 ， 所 以 只 能 用 合法 生意 作为 掩护 。 例 如 ， 总 舵 
对 外 的 公开 身份 是 当铺 ,分 舵 对 外 的 公开 身份 是 票 号 ， 当 铺 和 票 号 之 间 正 常 的 生意 往来 就 是 
最 好 的 保护 企 。 为 了 更 好 地 利用 这 个 保护 企 ，IPSec 设计 了 两 种 封装 模式 ， 如 下 所 示 。 

1， 明 修 栈道 暗 度 陈 仓 一 一 隧道 模式 

在 隧道 模式 下 ，AH 头 或 ESP 头 被 插 到 原始 IP 头 之 前 ， 另 外 生成 一 个 新 的 报 文 头 放 
到 AH 头 或 ESP 头 之 前 ， 如 图 6-3 所 示 。 


原始 报 文 原始 报 文 


Secure Hash Algorithm 2 
SHA2-256: 256 位 
SHA2-384: 384 位 
SHA2-512: 512 位 






安全 级 别 


ESP 封装 报 文 


AH-ESP 
封装 报 文 | 


ESP 加 密 范围 。 
ESP 验证 范围 


6-3 ”隧道 模式 下 的 报 文 封装 
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隧道 模式 使 用 新 的 报 文 头 来 封装 消息 ， 新 IP 头 中 的 源 /目的 地 址 为 隧道 两 端的 公 网 
IP 地 址 ， 所 以 隧道 模式 适用 于 两 个 网 关 之 间 建立 IPSec 隧道 ， 可 以 保护 两 个 网 关 后 面 的 
两 个 网 络 之 间 的 通信 ， 是 目前 比较 常用 的 封装 模式 。 总 能 和 分 舵 内 部 私 网 之 间 的 信息 经 
过 加 密 和 封装 处 理 后 ， 在 外 看 来 只 是 总 舵 和 分 舵 的 公开 身份 〈 公 网 人 P 地 址 )， 即 当铺 和 
票 号 之 间 的 通信 ， 不 会 被 人 怀疑 。 

2. 开门 见 山 直 来 直 往 一 一 传输 模式 

在 传输 模式 中 ，AH 头 或 ESP 头 被 插入 到 人 P 头 与 传输 层 协 议 头 之 间 ， 如 图 6-4 所 示 。 


原始 报 文 加 封装 报 文 解 封装 
PC PC 





原始 报 文 


AH 封装 报 文 


ESP 封装 报 文 





AH-ESP 封装 
报 文 


ESP 加 密 范 围 





ESP 验证 范围 
AH 验证 范围 


6-4 ”传输 模式 下 的 报 文 封装 


传输 模式 不 改变 报 文 头 ， 隧 道 的 源 和 目的 地 址 就 是 最 终 通信 双方 的 源 和 目的 地 址 ， 
通信 双方 只 能 保护 自己 发 出 的 消息 ， 不 能 保护 一 个 网 络 的 消息 。 所 以 该 模式 只 适用 于 两 
台 主 机 之 间 通 信 ， 不 适用 于 天 地 会 总 舵 和 分 舵 内 部 私 网 之 间 通 信 。 


6.1.3 ”安全 联盟 


IPSec 中 通信 双方 建立 的 连接 叫 作 安全 联盟 SA (Security Association)， 顾 名 思 义 ， 
通信 双方 结 成 盟友 ， 使 用 相同 的 封装 模式 、 加 密 算 法 、 加 密 密 钥 、 验 证 算法 、 验 证 密 钥 ， 
相互 信任 亲密 无 间 。 

安全 联盟 是 单 向 的 逻辑 连接 ， 为 了 使 每 个 方向 都 得 到 保护 ， 总 艇 和 分 舵 的 每 个 方向 
上 都 要 建立 安全 联盟 。 总 舵 入 方向 上 的 安全 联盟 对 应 分 舵 出 方向 上 的 安全 联盟 ， 总 舵 出 
方向 上 的 安全 联盟 对 应 分 舵 入 方向 上 的 安全 联盟 ， 如 图 6-5 所 示 。 
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图 6-5 IPSec 安全 联盟 示意 图 


为 了 区 分 这 些 不 同方 向 的 安全 联盟 ，IPSec 为 每 一 个 安全 联盟 都 打上 了 唯一 的 标识 
符 ， 这 个 标识 符 叫 作 SPI (Security Parameter Index ) 。 

建立 安全 联盟 最 直接 的 方式 就 是 分 别 在 总 舵 和 分 舵 上 人 为 设 定好 封装 模式 、 加 密 算 
法 、 加 密 密 钥 、 验 证 算法 、 验 证 密 钥 ， 即 手工 方式 建立 IPSec 安全 联盟 。 


6.2 手工 方式 IPSec VPN 


了 解 到 IPSec 的 强大 威力 后 ， 天 地 会 陈 总 舵 主 决定 先 在 总 舵 和 一 个 分 舵 之 间 使 用 手 
工 方式 建立 IPSec 隧道 ， 对 总 舵 和 分 舵 内 部 网 络 之 间 传 递 的 消息 进行 保护 ， 验 证 IPSec 
隧道 的 安全 效果 。 具 体 组 网 环境 如 图 6-6 所 示 。 


GE0/0/2 
4 4 






GE0/0/2 
2.2.2.2/24 
















GEO/0/1 § 
由 192.168.0.1/24 NE 172.16.0.124《 


2E= 
上 










PCA PC_B 
192.168.0.2/24 172.16.0.2/24 


图 6-6 手工 方式 IPSecVPN 组 网 图 


IPSec 是 建立 在 Internet 上 的 VPN 技术 ， 它 是 又 加 在 防火 墙 基 本 功能 之 上 的 业务 ， 
所 以 在 配置 IPSec VPN 之 前 必须 先 保证 整个 网 络 是 畅通 的 ， 要 保证 两 个 前 提 条 件 。 

(1) FW_A 和 FW_B 之 间 公 网 路 由 可 达 。 

(2) FW_A 和 FW_B 上 的 安全 策略 允许 PC_A 和 PC _B 互 访 流量 通过 。 

有 关 IPSec VPN 场景 下 的 安全 策略 的 配置 可 参考 “6.13 安全 策略 配置 思路 ”， 现 在 
大 家 先 学 习 本 节 的 重点 一 一 手工 方式 IPSec VPN 的 配置 ， 不 能 跑 偏 。 

为 了 让 加 密 、 验 证 、 安 全 联盟 的 配置 关系 更 清晰 ，IPSec 为 手工 方式 定义 了 4 个 步 
又， 如 下 所 示 。 

(1) 定义 需要 保护 的 数据 流 。 只 有 总 能 和 分 舵 内 部 网 络 之 间 交 互 的 消息 才 被 IPSec 
保护 ， 其 他 消息 不 受 保 护 。 

(2) 配置 IPSec 安全 提议 。 总 和 能 和 分 舵 FW 根据 对 方 的 提议 ， 决 定 能 和 否 成 为 盟友 。 
封装 模式 、 安 全 协议 、 加 密 算法 和 验证 算法 均 在 安全 提议 中 设置 。 
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(3) 配置 手工 方式 的 IPSec 安全 策略 。 指 定 总 能 和 分 舵 FW 的 公 网 地 址 、 安 全 联盟 
标识 符 SPI， 以 及 加 密 密 钥 和 验证 密 钥 。 

(4) 应 用 IPSec 安全 策略 。 

手工 方式 的 IPSec 配置 逻辑 如 图 6-7 所 示 。 


(CD 定义 需要 保护 的 数据 流 。 ”GG) 配置 手工 方式 的 IPSec 安全 策略 。“(@) 应 用 IPSec 安全 策略 














PSec 安全 提议 


图 6-7 手工 方式 IPSec VPN 配置 逻辑 示意 图 
天 地 会 总 舵 和 分 艇 FW 的 关键 配置 和 解释 如 表 6-3 所 示 。 


表 6-3 配置 手工 方式 IPSec VPN (IPSec 参数 ) 








acl number 3000 

rule 5 permit ip source 172.16.0.0.0.0.0.255 destination 
192.168.0.0 0.0.0.255 
ipsec proposal prol 

transform esp transform esp 

encapsulation-mode tunnel encapsulation-mode tunnel 

esp authentication-algorithm shal esp authentication-algorithm shal 

esp encryption-algorithm aes esp encryption-algorithm aes 
ipsec policy policyl 1 manual 
















rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 
172.16.0.0 0.0.0.255 


ipsec policy policyl 1 manual 


Security acl 3000 Security acl 3000 
proposal prol proposal prol 
tunnel local 1.1.1.1 tunnel local 2.2.2.2 
IPSec 安全 tunnel remote 2.2.2.2 tunnel remote 1.1.1.1 
策略 sa spi inbound esp 54321 sa spi inbound esp 12345 
sa spi outbound esp 12345 sa spi outbound esp 54321 


sa string-key inbound esp huawei@123 sa string-key inbound esp huawei@456 
sa string-key outbound esp huawei(@456 sa string-key outbound esp huawei@123 
应 用 IPSec interface GigabitEthemet0/0/2 interface GigabitEthernet0/0/2 

gE ip address 1.1.1.1 255.255.255.0 ip address 2.2.2.2 255.255.255.0 

安全 策略 ipsec policy policyl ipsec policy policyl 
ip route-static 172.16.0.0 255.255.255.0 1.1.1.2 // | ip route-static 192.168.0.0 255.255.255.0 2.2.2.1 // 
配置 到 达 对 端 私 网 的 静态 路 由 , 将 流量 引导 到 应 用 了 | 配置 到 达 对 端 私 网 的 静态 路 由 ， 将 流量 引导 到 应 用 了 
IPSec 策略 的 接口 IPSec 策略 的 接口 


手工 方式 下 ， 创 建 IPSec 安全 联盟 所 需 的 全 部 参数 ， 包 括 加 密 、 验 证 密 钥 ， 都 需要 
用 户 手工 配置 ， 也 只 能 手工 刷新 。 另 外 ，IPSec VPN 两 端 私 网 用 户 互 访 的 路 由 只 能 通过 
配置 静态 路 由 来 实现 ， 没 有 更 好 的 办 法 。 










路 由 
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部 署 完成 后 , PC_A 向 PC _B 发 出 ping 消息 , PC_B 回复 ping 消息 , 天 地 会 在 Internet 
上 模拟 官府 设 卡 检查 ， 发 现 两 个 方向 的 ping 消息 都 已 经 被 IPSec 安全 联盟 保护 。 两 个 方 
向 上 IPSec 安全 联盟 的 标识 符 SPI 分 别 为 0x3039 (十进制 为 12345) 以 及 0xd431 (十 进 
制 为 54 321)， 与 上 文 配 置 相符 ， 如 下 所 示 。 





“ESP (SPI=0x0000d431) 








b5 45 01 01 01 01 02 02 


0 
人 


由 于 采用 了 隧道 模式 进行 封装 ，IPSec 报 文 最 外 层 IP 头 中 的 地 址 为 公 网 人 P 地 址 。 分 
析 报 文 的 内 容 , 发 现 ESP 头 内 的 ping 消息 已 经 被 加 密 , 面目 全 非 无 法 辨识 , 这样 即使 该 
消息 被 官府 查获 ， 也 不 能 获取 到 任何 有 价值 的 信息 。 

为 了 对 比 ESP 和 AH 的 作用 ， 天 地 会 又 使 用 IPSec 中 的 另 一 绝技 AH 来 建立 安全 联 
盟 。AH 只 有 验证 功能 ， 没 有 加 密 的 功能 ， 官 府 从 查获 到 的 消息 中 能 够 看 到 AH 头 内 封 
装 的 私 网 报 文 头 和 ping 消息 真 容 。 因 此 ， 如 果 要 实现 加 密 ， 还 是 要 使 用 ESP, 或 者 AH 
和 ESP 配合 使 用 ， 如 下 所 示 。 


田 Authent d 
” |m Internet Protocol, Src: 192.168,0,2 (192.168.0.2), Dst 
Type: 8 (Echo (ping) request) 
Code: 0 
Checksum: 0x663c [correct] 
Identifier (BE): 8257 (Ox2041) 
Identifier (LE): 16672 (0x4120) 





Sequence number (BE): 1 {0x0001) 
Sequence number (LE): 256 (0x0100) 
EDara (32 bytes) 和 





自从 使 用 了 IPSec 后 ， 天 地 会 总 舵 和 分 舵 之 间 通 信 顺 畅 ， 没 过 多 久 ， 又 新 发 展 了 好 
几 个 分 舵 ， 新 建立 的 分 舵 也 要 和 总 舵 建 立 IPSec 隧道 。 如 果 继 续 使 用 手工 方式 的 话 ， 每 
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个 分 舵 都 需要 配置 各 种 参数 ， 工 作 量 很 大 ， 而 且 为 了 安全 性 起 见 ， 加 密 密 钥 和 验证 密 钥 
还 要 经 常 更 新 ， 当 然 这 种 被 动 局 面 没 有 持续 多 久 ， 陈 总 舵 主 及 其 助手 们 很 快 解决 了 这 个 
问题 : 用 I 代 E/IPSec VPN 取代 了 手工 方式 的 IPSec VPN。 


6.3 IKE 和 1ISAKMP 


手工 方式 PSec VPN 的 加 密 和 验证 所 使 用 的 密 钥 都 是 手工 配置 的 ， 为 了 保证 IPSec 
VPN 的 长 期 安全 ， 需 要 经 常 修改 这 些 密 钥 。 分 舵 数 量 越 多 ， 密 钥 的 配置 和 修改 工作 量 越 
大 。 随 着 天 地 会 的 壮大 ，IPSec VPN 的 维护 管理 工作 越 来 越 让 人 吃不消 了 。 为 了 降低 
IPSec VPN 管理 工作 量 ， 天 地 会 总 舵 主 再 访 高 人 寻求 灵丹妙药 。 灵 丹 已 炼 ， 妙 药 天 成 ， 
原来 IPSec 协议 框架 中 早 就 考虑 了 这 个 问题 一 一 智能 的 密 钥 管家 IKE (Internet Key 
Exchange) 协议 可 以 解决 这 个 问题 。 

IKE 综合 了 三 大 协议 : ISAKMP (Internet Security Association and Key Management 
Protocol)、Oakley 协议 和 SKEME 协议 。 
。 ISAKMP 主要 定义 了 IKE 伙伴 (IKE Peer) 之 间 合 作 关系 〈 即 IKE SA, 与 IPSec 
SA 类 似 ) 的 建立 过 程 。 
。 Oakley 协议 和 SKEME 协议 的 核心 是 DH (Diffie-Hellman) 算法 ， 主 要 用 于 在 
Internet 上 安全 地 分 发 密 钥 、 验 证 身份 ， 以 保证 数据 传输 的 安全 性 。 不 要 小 瞧 DH 
算法 ，IPSec SA、IKE SA 需要 的 加 密 密 钥 、 验 证 密 钥 是 通过 DH 算法 生成 的 ， 
还 可 以 动态 刷新 。 
有 了 IKE 加 盟 ，IPSec VPN 的 安全 和 管理 问题 不 再 困扰 天 地 会 ， 各 地 分 舵 申 请 建立 
VPN 的 流程 可 以 加 快 实施 进度 了 。 

IKE 协议 的 终极 目标 是 通过 协商 在 总 舵 和 分 舵 之 间 动 态 建立 PSec SA， 并 能 够 实时 
维护 IPSec SA。 为 建立 IPSec SA 而 进行 的 IKE 协商 工作 是 由 ISAKMP 报 文 来 完成 的 ， 
所 以 在 部 署 IKE 之 前 ， 强 叔 先 领 大 家 认识 一 下 ISAKMP 报 文 ， 如 图 6-8 所 示 。 


Payload 


ISAKMP Payload(Type Payload) 


6-8 ”ISAKMP 报 文 封装 及 报 文 头 
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. JP 报 文 头 


源 地 址 src: 本 端 发 起 IKE 协商 的 IP 地 址 ， 可 能 是 物理 /逻辑 接口 IP 地 址 ， 也 可 
能 是 通过 命令 配置 的 全 地 址 。 

目的 他 地 址 Dst: 对 端 发 起 IKE 协商 的 了 P 地 址 ， 由 命令 配置 。 

UDP 报 文 头 


IKE 协议 使 用 端口 号 500 发 起 协商 、 响 应 协商 。 在 总 舵 和 分 舵 都 有 固定 人 P 地 址 时 ， 
这 个 端口 在 协商 过 程 中 保持 不 变 。 当 总 能 和 分 舵 之 间 有 NAT 设备 时 (NAT 穿越 场景 )， 
IKE 协议 会 有 特殊 处 理 ， 后 续 章 节 会 有 详解 。 


3. 


ISAKMP 报 文 头 

Initiator’s Cookie(SPD 和 responder’s Cookie(SPD: 在 IKEv1l 版 本 中 为 Cookie， 在 
IKEv2 版 本 中 Cookie 为 IKE 的 SPI， 唯 一 标识 一 个 IKE SA。 

Version: IKE 版 本 号 。IKE 诞生 以 来 , 有 过 一 次 大 的 改进 ， 老 的 IKE 被 称 为 KEv1， 
改进 后 的 IKE 被 称 为 [KEv2。 

Exchange Type: IKE 定义 的 交换 类 型 。 交 换 类 型 定义 了 ISAKMP 消息 遵循 的 交 
换 顺序 ， 后 面 IKEv1 中 讲 到 的 主 模式 、 野 蛮 模 式 、 快 速 模式 ，IKEv2 中 讲 到 的 
初始 交换 、 子 SA 交换 都 属于 IKE 定义 的 交换 类 型 。 

Next Payload: 标识 消息 中 下 一 个 载荷 的 类 型 。 一 个 ISAKMP 报 文中 可 能 装载 多 
个 载荷 ,该 字段 提供 载荷 之 间 的 “链接 ”能 力 。 若 当前 载荷 是 消息 中 最 后 一 个 载 
荷 ， 则 该 字段 为 0。 

ISAKMP Payload(Type Payload): 载荷 类 型 ,ISAKMP 报 文 携 带 的 用 于 协商 IKE SA 
和 IPSec SA 的 “参数 包 ”。 载荷 类 型 有 很 多 种 ,不同 载荷 携带 的 “参数 包 ” 不 同 。 
不 同 载荷 的 具体 作用 我 们 后 面 会 结合 抓 包 过 程 逐一 分 析 。 


IKEv1 和 IKEvV2 的 精华 之 处 正 是 本 章 的 重点 ， 容 强 叔 一 一 道 来 。 


6.4 


6.4.1 


IKEv1 


配置 IKE/IPSec VPN 


IKE 最 适用 于 在 总 航 和 众多 分 舵 之 间 建 立 IPSec VPN 的 场景 ， 分 舵 越 多 IKE 的 优势 
越 能 凸显 。 为 了 讲解 方便 ， 这 里 仅 给 出 总 舵 FW 和 一 个 分 舵 FW 之 间 建 立 IPSec VPN 的 
组 网 图 ， 如 图 6-9 所 示 。 





GE0/0/2 GE0/0/2 GEO/O/1 
GEO/O/1 1.1.1.1/24 > 、2.2.3.2/24 172.16.2.1/2 

192.168.0.1/24 入 a 2 | 

~ 中 





PC_B 


PC_A 
192.168.0.2/24 172.16.2.2/24 


图 6-9 IKEv1/IPSec VPN 组 网 图 
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如 图 6-10 所 示 , 相 比 手工 方式 , IKE/IPSec VPN 的 配置 步骤 仅 增 加 了 两 步 : 配置 IKE 
安全 提议 和 IKE 对 等 体 。IKE 安全 提议 主要 用 于 配置 建立 IKE SA 用 到 的 加 密 和 验证 算 
法 。IKE 对 等 体 主要 配置 IKE 版 本 、 身 份 认证 和 交换 模式 。 






虚线 表示 引 用 是 可 选 @ 配置 IPSec 安全 提议 
实 线 表示 引用 是 必 选 es CO— 


图 6-10 ”IKEv1/IPSec 配置 逻辑 图 


跟 手 工 方式 的 IPSec VPN 是 一 样 的 ， 在 配置 IKE/IPSec VPN 之 前 必须 先 保证 整个 网 
络 是 畅通 的 ， 要 保证 两 个 前 提 条 件 。 

(1) FW_A 和 FW _B 之 间 公 网 路 由 可 达 。 

(2) FW_A 和 FW_B 上 的 安全 策略 允许 PC_A 和 PC _B 互 访 流量 通过 。 

有 关 IPSec VPN 场景 下 的 安全 策略 的 配置 可 参考 “6.13 安全 策略 配置 思路 ” 现在 
大 家 先 学 习 本 节 的 重点 一 一 IKE 方式 IPSec VPN 的 配置 。 

配置 IKE/IPSec VPN 的 步骤 如 表 6-4 所 示 。 


表 6-4 配置 IKE/IPSec VPN 




















ike proposal 10 ike proposal 10 
ike peer b 5 
ike-proposal 10 < rs sal 10 
undo version 2 IIKEv1 no Veaton MKEvI 


exchange-mode main  // 主 模式 ( 缺 省 ) 
remote-address 2.2.3.2 // 对 端 发 起 IKE 协商 的 
地 址 
pre-shared-key tiandihui2 
acl number 3001 
rule 5 permit ip Source 192.168.0.0 0.0.0.255 
destination 172.16.2.0 0.0.0.255 


exchange-mode main // 主 模式 ( 缺 省 》 
remote-address 1.1.1.1// 对 端 发 起 IKE 协商 的 地 址 
pre-shared-key tiandihui2 












acl number 3000 
rule 5 permit ip source 172.16.2.0 0.0.0.255 destination 
192.168.0.0 0.0.0.255 
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ipsec proposal a 
transform esp 
encapsulation-mode tunnel 
esp authentication-algorithm md5 


ipsec proposal b 
transform esp 
encapsulation-mode tunnel 
esp authentication-algorithm md5 
esp encryption-algorithm des 

ipsec policy policyl 1 isakmp 
security acl 3' 


IPSec 安全 
提议 
esp encryption-algorithm des 
ipsec policy policyl 1 isakmp 
security acl 3001 
proposal a proposal b 
ike-peer b ike-peer a 
应 用 IPSec interface GigabitEthernet0/0/2 interface GigabitEthernet0/0/2 
ip address 1.1.1.1 255.255.255.0 ip address 2.2.3.2 255.255.255.0 
安全 策略 ipsec policy policyl ipsec policy policyl 
ip route-static 192.168.0.0 255.255.255.0 2.2.3.1 “// 配 
置 到 达 对 端 私 网 的 静态 路 由 ， 将 流量 引导 到 应 用 了 
IPSec 策略 的 接口 






















ip route-static 172.16.2.0 255.255.255.0 1.1.1.2 
/配置 到 达 对 端 私 网 的 静态 路 由 , 将 流量 引导 
到 应 用 了 IPSec 策略 的 接口 

配置 完成 之 后 , 总 舵 和 分 艇 FW 之 间 有 互 访 数据 流 时 即 可 触发 建立 IPSec VPN 隧道 ， 
下 面 强 叔 通过 抓 包 来 为 大 家 详解 一 下 IKEv1 的 精妙 之 处 。 

IKEv1 版 本 分 两 个 阶段 来 完成 动态 建立 IPSec SA 的 任务 。 

阶段 1 建立 IKE SA: 采用 主 模式 或 野蛮 模式 协商 建立 IKE SA。 

阶段 2 建立 IPSec SA: 采用 快速 模式 协商 建立 PSec SA。 

为 什么 要 分 两 个 阶段 ， 这 两 个 阶段 之 间 有 什么 关系 呢 ? 简单 地 说 阶段 1 是 为 阶段 2 
做 准备 的 ，IKE 对 等 体 双方 交换 密 钥 材料 、 生 成 密 钥 ， 相 互 进 行 身 份 认 证 ， 这 些 准备 工 
作 完 成 后 IPSec 才 真 正 启动 PSec SA 的 协商 。 

下 面 我 们 先 介 绍 主 模 式 + 快 速 模 式 下 的 IPSec SA 建立 过 程 , 大 家 一 起 看 看 IKE/IPSec 
VPN 跟 手 工 方式 IPSec VPN 有 什么 本 质 不 同 。 


6.4.2 ”建立 IKE SA ( 主 模 式 ) 
主 模式 下 IKEv1 采用 3 个 步骤 6 条 ISAKMP 消息 建立 IKE SA, 抓 包 信息 如 下 所 示 。 





下 面 以 总 舵 FW 主动 发 起 IKE 协商 为 例 详细 讲解 阶段 1 的 协商 过 程 ， 如 图 6-11 所 示 。 
1. 协商 IKE 安全 提议 

协商 分 两 种 情况 ， 如 下 所 示 。 

。 发 起 方 的 IKE Peer 中 引用 了 IKE Proposal (发 送 引用 的 IKE 安全 提议 )。 

。 发 起 方 的 IKE peer 中 没有 引用 IKE Proposal (发 送 所 有 IKE 安全 提议 )。 

两 种 情况 下 响应 方 都 会 在 自己 配置 的 IKE 安全 提议 中 寻找 与 发 送 方 相 匹配 的 IE 安 
全 提议 (因此 在 “图 6-10 IKEv1/IPSec 配置 逻辑 图 ”中 引用 IKE 安全 提议 的 线 是 虚线 ， 
表示 引用 或 是 不 引用 都 可 以 )， 如 果 没 有 匹配 的 安全 提议 则 协商 失败 。 

IKE 对 等 体 双方 判断 1KE 安全 提议 是 否 匹配 的 原则 为 双方 有 相同 的 加 密 算 法 、 认 证 
算法 、 身 份 认证 方法 和 DH 组 标识 ， 不 包括 IKE SA 生存 周期 。 
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2. 确认 IKE 安全 提议 


3. 发 送 密 钥 材 料 


[| 
6 发 送 身份 信息 ea 





6-11 IKE SA 主 模式 协商 过 程 


IKE Peer 中 配置 的 参数 是 IKE 双方 能 够 顺利 接头 的 关键 ， 对 端 ID 或 IP 地 址 或 域 
名 ， 以 及 身份 认证 参数 ， 无 论 哪个 出 错 都 会 出 现 “无 缘 对 面 不 相识 ”的 悲剧 。 


[0 说 明 
通过 IKEvl 协商 建立 IPSec 安全 联盟 时 , IKE SA 的 超时 时 间 采 用 本 地 生存 周期 和 对 端 生存 
周期 中 较 小 的 一 个 ， 隧 道 两 端 设备 配置 的 生存 周期 不 同 不 影响 KE 协商 。 


通过 抓 包 可 以 看 出 ISAKMP 消息 的 SA 载荷 中 携带 用 于 协商 的 IKE 安全 提议 。 以 消 
息 四 为 例 ， 如 下 所 示 。 


日 Internet security Association and Key Management Protrocol 

Initiator cookie: 98fc99866ccbb551 
Responder cookie: 0000000000000000 
Next payload: Security Association (1) 
Version: 1.0 
Exchange type: Identity Protection (Main Mode) (2) 

男 Flags: 0x00 
Message ID: Ox00000000 
Length: 144 





payload Yang 56 
Domain of interpretation: IPSEC (1) 
EB Situation: 00000001 
GB Type Payload: Proposal (2) #1 
Next payload: NONE / NO Next Payload (0) 
Payload length: 44 
Proposal number: 1 
Protocol ID: ISAKMP (1) 
SPI Size: 0 
Proposal transforms: 1 
BG Type Payload: Transform (3) # 0 
Next payload: NONE / No Next Payload (0) 
» Payload length: 36 
Transform number: 0 
Transform ID: 3 (1) 


Type gor I 
® Transform IKE Attribute Type (t=2,1=2) Da NO deh < SHA 
后 Transform IKE Attribute Type (t=3,1=2) Authentication-Method : PSK 


ER Transform IKE Attribure Type (t=4,1=2) Group-Description : Defaujt 768-bit MODP group 
出 Tn Poret IKE rele Type Srey 0 Life -Type : Seconds 
Ll on : 





190 华为 防火 墙 技术 漫谈 


2. 使 用 DH 算法 交换 密 钥 材料 ， 并 生成 密 铀 

总 艇 和 分 舵 FW 利用 ISAKMP 消息 的 Key Exchange 和 nonce 载荷 交换 彼此 的 密 钥 
材料 。Key Exchange 用 于 交换 DH 公开 值 ，nonce 用 于 传送 临时 随机 数 。 由 于 DH 算法 
中 IKE 对 等 体 双方 只 交换 密 钥 材料 ， 并 不 交换 真正 的 共享 密 钥 ， 所 以 即使 黑客 窃取 了 
DH 值 和 临时 值 也 无 法 计算 出 共享 密 钥 ， 这 一 点 正 是 DH 算法 的 精髓 所 在 。 从 抓 包 中 可 
以 看 到 IKE 对 等 体 双方 交换 密 钥 材料 ， 以 消息 @ 为 例 ， 如 下 所 示 。 





Int tt Security tatT 

TC Fe Cookie: 98 geeecet pss 

Responder cookie: 34e0f454337735f7 

Next payload: Key Exchange 《4) 

Version:; 1.0 

Exchange type: Identity Protection (Main Mode) (2) 
还 Flags: 0x00 

Pe ID: 0x00000000 

196 


号 ee a Key Exchange (4) 
Next payload: Nonce (10) 
Payload length: 100 
Ke ee ge Dera 390e8313198d141928d4e8570567588a9687031fad73cOf7. ae 
> U 


Bay None 
Next ee Ra D (RFC 3947) (20) 

paylioad length: 20 

Nonce DATA: b69c95e941c5146abb9937009ef4ff02 








密 钥 材料 交换 完成 后 ，IKE 对 等 体 双方 结合 自身 配置 的 身份 验证 方法 各 自 开 始 复杂 
的 密 钥 计算 过 程 ( 预 共享 密 钥 或 数字 证 书 都 会 参与 到 密 钥 计算 过 程 中 ), 最终 会 产生 三 个 
密 钥 ， 如 下 所 示 。 
。 SKEYID a: ISAKMP 消息 完整 性 验证 密 钥 一 一 谁 也 别 想 算 改 ISAKMP 消息 了 ， 
只 要 消息 稍 有 改动 ， 响 应 端 完整 性 检查 就 会 发 现 ! 
。 SKEYID_e: ISAKMP 消息 加 密 密 钥 一 一 再 也 别 想 窃取 ISAKMP 消息 了 ,窃取 了 
也 看 不 懂 ! 
以 上 两 个 密 钥 保证 了 后 续 交 换 的 ISAKMP 消息 的 安全 性 ! 
。 SKEYID_d: 用 于 衍生 出 IPSec 报 文 的 加 密 和 验证 密 钥 一 一 最 终 是 由 这 个 密 钥 保 
证 IPSec 封装 的 数据 报 文 的 安全 性 ! 
整个 密 钥 交换 和 计算 过 程 在 IKE SA 超时 时 间 的 控制 下 以 一 定 的 周期 进行 自动 刷新 ， 
避免 了 密 钥 长 期 不 变 带 来 的 安全 隐患 。 
3. 身份 认证 
IKE 对 等 体 双方 通过 两 条 ISAKMP 消息 @@、@ 交 换 身份 信息 ， 进 行 身份 认证 。 目 前 
有 两 种 身份 认证 技术 比较 常用 ， 如 下 所 示 。 
。 预 共享 密 钥 方式 (pre-share): 设备 的 身份 信息 为 卫 地 址 或 名 称 。 
。 数字 证 书 方式 ;设备 的 身份 信息 为 证 书 和 通过 证 书 私 钥 加 密 的 部 分 消息 HASH 
值 〈 俗 称 签名 )。 
以 上 身份 信息 都 由 SKEYID e 进行 加 密 ， 所 以 在 抓 包 中 我 们 只 能 看 到 标识 
“Encrypted” 的 ISAKMP 消息 ， 看 不 到 消息 的 内 容 〈 身 份 信息 )。 以 消息 @ 为 例 ， 如 下 所 示 。 
预 共享 密 钥 是 最 简单 、 最 常用 的 身份 认证 方法 。 这 种 方式 下 设备 的 身份 信 息 可 以 用 
IP 地 址 或 名 称 (包括 FQDN 和 USER-FQDN 两 种 形式 ) 来 标识 。 当 IKE 对 等 体 两 端 都 
有 固定 人 P 地 址 的 时 候 ， 一 般 都 用 人 P 地 址 作为 身份 标识 ; 当 一 端 为 动态 获取 IP 地 址 的 时 
候 ， 这 一 端 只 能 用 名 称 来 标识 。 只 有 验证 端 和 被 验证 端的 身份 信息 吻合 了 ， 身 份 认 证 才 
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能 通过 。 总 通 和 分 舵 FW 身份 认证 的 配置 要 点 如 表 6-5 所 示 。 


© Internet Security Association and Key Management protocol 
Initiator cookie: 98fc99866ccbb551 
Responder cookie: 34e0f454337735f7 
Next payload: Identification (5) 
Version: 1.0 
Ee ge type: Identity Protection (Main Mode) {2) 
2 





“as ss0 = Co ;2 

a .0.. = Authentication: No authentication 
Message es 9x00000000 
Length: 
ee Data (40 bytes) 


表 6-5 配置 身份 认证 信息 





让 地 址 为 发 起 IPSec 隧道 协商 的 接口 地 址 或 locaLaddress 指定 的 地 址 
FQDN remote-id ike local-name 


USER-FQDN ike local-name 


这 里 有 个 问题 提醒 大 家 关注 ， 在 IKE 对 等 体 两 端 都 有 固定 IP 地 址 的 场景 下 ， 
remote-address 命令 配置 的 IP 地 址 要 跟 对 端 发 起 IKE 协商 的 IP 地 址 保持 一 致 。 这 个 IP 
地 址 的 作用 是 三 位 一 体 : 不 仅仅 指定 了 隧道 对 端的 IP 地 址 , 还 参与 了 本 地 预 共享 密 钥 的 
查找 ， 进 而 验证 对 端 身份 。 这 一 点 是 IPSec 中 构造 最 复杂 的 陷阱 ， 在 不 同 场景 下 它 可 以 
七 十 二 变 ， 抓 不 到 正确 的 规律 肯定 要 出 错 的 。 

综 上 所 述 ， 在 阶段 1 协商 过 程 中 IKE 做 了 如 下 两 件 大 事 。 

。 为 后 续 ISAKMP 消息 生成 了 加 密 密 钥 和 验证 密 钥 ， 为 IPSec SA 生成 密 钥 材料 。 

。 完成 了 身份 认证 ， 且 是 在 加 密 状 态 下 进行 的 。 身 份 信息 可 以 是 IP 地 址 、 设 备 名 

称 ， 或 是 包含 更 多 信息 的 数字 证 书 都 可 以 。 

且 以 上 所 有 工作 成 果 都 受 安全 联盟 生存 周期 的 控制 ， 也 就 是 说 一 旦 SA 超时 以 上 工 
作 就 得 重新 做 一 遍 。 这 样 的 好 处 是 无 论 密 钥 计算 还 是 身份 认证 结果 都 会 定时 刷新 ， 不 会 
给 恶意 分 子 可 乘 之 机 。 这 些 都 是 手工 方式 PSec VPN 无 法 顾及 到 的 ， 也 是 IKE 这 位 密 钥 
管家 的 “智能 ”之 处 。 

6.4.3 建立 IPsec SA 


从 阶段 2 开始 ，IKE 对 等 体 两 端 继续 交换 密 钥 材料 ， 包 括 SKEYID_d、SPI 和 协议 
( 指 AH 和 /或 ESP 协议 )、nonce 等 参数 ， 然 后 各 自 进行 密 钥 计算 ， 生 成 用 于 IPSec SA 加 
密 验 证 的 密 钥 , 这 样 可 以 保证 每 个 IPSec SA 都 有 自己 独一无二 的 密 钥 用 于 后 续 数据 传输 
的 加 密 和 验证 。 另 外 ，IPSec SA 也 有 超时 的 概念 ， 一旦 IPSec SA 超时 ，IKE SA 和 IPSec 
SA 都 将 被 删除 ， 然 后 重新 进行 协商 。 

IKEvl ls 快速 交 ee 3 条 ISAKMP 消 避 且 下 IPSec SA， nb da 





由 于 快速 交换 模式 使 用 IKEv1 阶段 1 中 生成 的 密 钥 SKEYID_e 对 ISAKMP 消息 进 
行 加 密 ， 所 以 我 们 抓 到 的 报 文 都 是 加 密 的 ， 看 不 到 载荷 里 面 的 具体 内 容 ， 故 下 面 只 能 用 
文字 介绍 一 下 每 一 步 的 作用 ， 如 图 6-12 所 示 ， 我 们 还 是 以 总 舵 FW 发 起 IPSec 协商 为 例 
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进行 讲解 。 









1. 发 送 IPSec 安全 参数 ， 密 钥 材 料 


2. 响应 者 发 送 匹 配 的 安全 参数 ， 密 钥 材 料 | 


3. 发 送 确认 信息 Ce 


图 6-12 IPSec SA 快速 交换 模式 协商 过 程 


(1) 发 起 方 发 送 IPSec 安全 提议 、 被 保护 的 数据 流 (ACL) 和 密 钥 材 料 给 响应 方 。 

(2) 响应 方 回应 匹配 的 IPSec 安全 提议 、 被 保护 的 数据 流 ， 同 时 双方 生成 用 于 IPSec 
SA 的 密 钥 。 

IPSec 用 ACL 来 圈定 它 想 保 护 的 数据 流 ， 像 本 例 总 舵 只 需要 跟 一 个 分 舵 进 行 通信 的 
情况 ， 配 置 比较 简单 ， 只 要 两 端 FW 上 配置 的 ACL“ 互 为 镜像 ”( 两 端 ACL 配置 的 源 和 
目的 地 址 正好 相反 ) 即 可 。 但 其 他 复杂 场景 , 例如 总 舵 和 多 个 分 舵 之 间 建 立 VPN 且 分 能 
通过 总 舵 互 访 ， 以 及 L2TP/GRE over IPSec， 或 IPSec 和 NAT 网 关 合 一 的 场景 下 ，ACL 
配置 都 比较 有 讲究 ， 后 续 遇 到 具体 情况 时 我 们 再 讲 。 

”IKE 对 等 体 双方 判断 IPSec 安全 提议 是 否 匹 配 的 原则 为 双方 安全 协议 采用 的 认证 算 
法 、 加 密 算法 和 封装 模式 必须 相同 。 

由 于 IPSec SA 的 密 钥 都 是 由 SKEYID_d 衍生 的 ， 一 旦 SKEYID_d 泄露 将 可 能 导致 
IPSec VPN 受到 侵犯 。 为 提升 密 钥 管理 的 安全 性 ，IKE 提供 了 PFS (Perfect Forward 
Secrecy， 完 美 向 前 保密 ) 功能 。 启 用 PFS 后 ， 在 进行 IPSec SA 协商 时 会 进行 一 次 附加 
的 DH 交换 , 重新 生成 新 的 IPSec SA 密 钥 , 进一步 提高 了 IPSec SA 的 安全 性 。 记 住 PFS 
要 配置 的 话 必须 在 隧道 两 端 FVW 上 一 起 配置 ! 

(3) 发 起 方 发 送 确认 结果 。 

协商 完成 后 发 送 方 开 始 发 送 IPSec (ESP) 报 文 ， 如 下 所 示 。 





46 0.000000 1.1.1i.1 2.2.3.2 ESP ESP (SPI=0xca5s4cc6f) 
#7 0.000000 .1.1.1 全 .2.3 全 ESP ESP (SPI=0xca54cc6f) 
48 0.000000 2.2.3.2 主 . 二 .1.1 ESP ESP (SPI=0x4a314106) 
49 0.000000 1.1.1.1 2.2.3.2 ESP ESP (SpI=0xca54cc6f) 
50 0.000000 2.2.3.2 .1.1.1 ESP ESP (SPI=0x4a314106) 
Si 0.000000 1.1.1.1 2.2.3,2 ESP ESP 《SPI=0xca54cc6f) 


IPSec SA 建立 成 功 后 ， 检 查 IPSec VPN 状态 信息 。 以 总 舵 FW_A 上 的 显示 信息 为 例 。 
。 查看 IKE SA 的 建立 情况 





40129 2232 RDIST v1:2 public 
2 .9232 DIT ~ vl pe 
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这 里 统一 显示 了 IKE SA (v1:1) 和 IPSec SA (v1:2) 的 状态 ，RD 表示 SA 状态 为 


READY。IKE Peer 之 间 只 有 一 个 IKE SA，IKE SA 是 双向 逻辑 连接 (不 区 分 源 和 目的 )。 
。 查看 IPSec SA 的 建立 情况 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Src Address DstAddress ~ SPI Protocol Aleorithn 
1]:1.1 .2.32 4090666525 ESP E:DES;A:HMAC-MD5-96; 
2232 Tht 2927012373 ESP E:DES;A:HMAC-MD5-96; 


IPSec SA 是 单 向 的 〈 区 分 源 和 目的 )， 两 个 方向 的 IPSec SA 共同 组 成 一 条 IPSec 隧 
道 。 一 般 来 说 一 条 数据 流 对 应 一 个 IPSec SA。 但 当 IPSec 同时 采用 了 ESP+AH 封装 时 ， 
一 条 数据 流 会 对 应 两 个 IPSec SA。 
。 查看 会 话 表 
<FW_A> display firewall session table 
Current Total Sessions : 3 
“ iemp VPN:public --> public 192.168.0.2:18334-->172.16.2.2:2048 
udp VPN:public -> public 1.1.1.1:500-->2.2.3.2:500 
esp VPN:public --> public 2.2.3.2:0-->1.1.1.1:0 
至 此 ，IPSec SA 建立 完成 ， 看 上 去 IKE 方式 建立 的 IPSec SA 跟 手 工 方式 建立 的 
IPSec SA 似乎 没有 区 别 ， 但 实际 上 区 别 很 大 。 
。 密 钥 生 成 方式 不 同 
手工 方式 下 ， 创 建 IPSec SA 所 需 的 全 部 参数 ， 包 括 加 密 、 验 证 密 钥 ， 都 需要 用 
户 手工 配置 ， 也 只 能 手工 刷新 。 
IKE 方式 下 ， 创 建 IPSec SA 需要 的 加 密 、 验 证 密 钥 是 通过 DH 算法 生成 的 ， 可 
以 动态 刷新 。 密 钥 管理 成 本 低 ， 安 全 性 较 高 。 
。 IPSec SA 生存 周期 不 同 
手工 方式 创建 的 IPSec SA 一 经 创建 永久 存在 。 
IKE 方式 下 ， 由 数据 流 触 发 建立 IPSec SA，SA 的 生存 周期 由 双方 配置 的 生存 周 
期 参数 (也 叫 SA 超时 时 间 ) 控制 。 
主 模式 是 推荐 的 配置 ， 安 全 可 靠 。 下 面 简单 介绍 一 下 另外 一 种 IKE SA 协商 方法 一 一 野 
蛮 模 式 。 


6.4.4 建立 IKE SA (野蛮 模式 ) 


IKEv1 分 两 个 阶段 完成 了 IPSec SA 的 动态 协商 , 阶段 1 采用 主 模式 协商 方式 既 安全 
又 可 靠 ， 但 有 些 情 况 下 完美 的 主 模式 却 发 挥 不 了 作用 。 为 什么 呢 ? 让 我 们 先 看 看 作为 主 
模式 替补 的 野蛮 模式 的 协商 过 程 吧 。 

在 “ 表 6-4 配置 IKE/IPSec VPN” 中 ,将 IKE 对 等 体 中 的 配置 命令 exchange-mode main 
改 为 exchange-mode aggressive 即 可 将 IKEv1 阶段 1 的 协商 模式 改 为 野蛮 模式 。 抓 包 看 
一 下 野蛮 模式 的 报 文 交互 情况 ， 如 下 所 示 。 
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如 图 6-13 所 示 ， 野 蛮 模 式 只 用 了 3 条 ISAKMP 消息 就 完成 了 阶段 1 的 协商 过 程 ， 
阶段 2 仍旧 是 快速 模式 不 变 。 


FW_A 


1. 发 送 本 地 IKE 安全 提议 、 
密 钥 相关 信息 、 身 份 信息 


2. 查找 被 发 送 匹配 的 IKE 安全 提议 ， 发 送 密 钥 : 
相关 信息 、 身 份 信息 ， 以 及 本 端 认 证 信息 


3. 返回 本 端 认证 信息 ， 进 行 认证 - 






图 6-13 IKE SA 野 变 模式 协商 过 程 


发 起 方 和 响应 方 把 IKE 安全 提议 、 密 钥 相 关 信 息 和 身份 信息 一 股 脑 地 全 放 在 一 个 
ISAKMP 消息 中 发 送 给 对 方 ，IKE 协商 效率 提高 了 。 但 由 于 身份 信息 是 明文 传输 ， 没 有 加 密 
和 完整 性 验证 过 程 , IKE SA 的 安全 性 降低 了 。 既然 这 样 不 够 安全 , 为 什么 野蛮 模式 还 会 出 现 ? 

在 IPSec VPN 出 现 的 早期 ， 由 于 主 模式 + 预 共享 密 钥 身份 认证 方式 下 ，IPSec 需要 通 
过 对 端的 IP 地 址 来 在 本 地 查找 预 共 享 密 钥 。 这 种 密 钥 查找 方式 在 对 端 没有 固定 IP 地 址 
的 情况 下 行 不 通 。 此 时 ， 野 蛮 模 式 可 以 “野蛮 ”地 解决 这 个 问题 。 

野蛮 模式 中 “身份 信息 ”没有 加 密 ， 本 端 就 直接 用 对 端 发 送 来 的 身份 信息 (也 就 是 亿 地 
址 ) 来 查找 预 共享 密 钥 即 可 。 所 以 在 IPSec VPN 应 用 初期 ， 野 蛮 模 式 主要 用 于 解决 没有 固定 
IP 地 址 的 节点 部 署 PSec VPN 的 问题 。 现 在 ，IPSec VPN 解决 这 个 问题 有 很 多 方法 ， 不 安全 
的 野蛮 模式 已 经 不 是 最 好 的 选择 了 。 大 家 了 解 这 个 知识 点 即 可 ， 强 叔 不 推荐 用 这 种 协商 模式 。 


6.5 IKEv2 


IKEv1 似乎 已 经 很 完美 了 ， 但 用 得 久 了 仍旧 会 发 现 不 尽 人 意 之 处 。 

。 协商 建立 IPSec SA 的 时 间 太 长 

IKEvl 主 模式 协商 一 对 IPSec SA， 需 要 6 (协商 瑞 E SA) +3 (协商 IPSec SA) =9 
条 消息 。 

IKEv1 野蛮 模式 协商 一 对 IPSec SA， 需 要 3 (协商 IKE SA) +3 (协商 IPSec SA) =6 
条 消息 。 

。 不 支持 远程 用 户 接 入 
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IKEv1 不 能 对 远程 用 户 进行 认证 。 考 想 支持 远程 用 户 接 入 ， 只 能 借助 L2TP， 通 过 
PPP 来 对 远程 用 户 进行 AAA 认证 。 

这 些 问 题 怎么 解决 呢 ? 办 法 总 比 问题 多 ! IEv2 完美 地 解决 了 这 些 问 题 。 

IKEv2 相 比 IKEvV1， 如 下 。 

。 协商 建立 IPSec SA 的 速度 大 大 提升 。 

正常 情况 IKEv2 协商 一 对 IPSec SA 只 需要 2 (协商 了 KE SA) +2 (协商 IPSec SA) 
=4 条 消息 。 后 续 每 建立 一 对 IPSec SA 只 会 增加 2 条 消息 。 

。 增加 了 EAP (Extensible Authentication Protocol) 方式 的 身份 认证 。 

这 里 我 们 只 介绍 区 Ev2 的 基本 协商 过 程 ,， EAP 认证 在 企业 网 中 还 没 看 到 应 用 ， 暂 时 不 讲 。 


6.5.1 IKEv2 简介 
下 面 结合 图 6-14 所 示 的 组 网 环境 ， 讲 解 代 Ev2 的 实现 过 程 。 


GEO/O/1 GEO/0/2 GE0/0/2 GE0O/0/1 


172.16.2.1/24 





PC_A PCB 
192.168.0.2/24 172.16.2.2/24 


6-14 IKEv2/IPSec VPN 组 网 图 


IKEv2 的 配置 思路 与 IKEv1 完全 相同 ， 只 是 细节 稍 有 不 同 。 如 图 6-15 所 示 ， 斜 体 字 

所 示 命 令 与 IEv1 不 同 。 缺 省 情况 下 ， 防 火 墙 同时 开启 下 Evl 和 IKEv2 协议 。 本 端 发 起 

协商 时 , 采用 区 Ev2, 接受 协商 时 , 同时 支持 IKEv1 和 IKEv2, 所 以 也 可 以 不 关闭 IKEv1。 
(定义 需要 保护 的 数据 流 








Q 配置 IKE 安全 提议 BF 





(@) 应 用 IPSec 安全 策略 组 





虚线 表示 引用 是 可 选 
实 线 表示 引用 是 必 选 


6-15 IKEv2/IPSec 配置 逻辑 图 
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6.5.2 ”IKEv2 协商 过 程 


IKEv2 协商 IPSec SA 的 过 程 跟 IKEv1 有 很 大 差别 ， 最 少 4 条 消息 就 可 以 创建 一 对 
IPSec SA， 效 率 奇 高 ! 

1. 初始 交换 4 条 消息 同时 搞定 IKE SA 和 IPSec SA 

IKEv2 的 初始 交换 通过 4 条 消息 同时 建立 IKE SA 和 IPSec SA， 抓 包 信 息 如 下 
所 示 。 





如 图 6-16 所 示 , 初始 交换 包括 IKE 安全 联盟 初始 交换 (IKE_SA_INIT 交换 ) 和 IKE 
认证 交换 (IKE_AUTH 交换 )。 










IKE 安全 联盟 初始 交换 
IKE 安全 联盟 初始 交换 


认证 交换 


图 6-16 初始 交换 


。 第 一 个 消息 对 (IKE_SA_INIT) 
负责 IKE 安全 联盟 参数 的 协商 , 包括 IKE Proposal, 临时 随机 数 (nonce) 和 DH 值 ， 
如 下 所 示 。 


. Ee 2 ee yee wire te 人 a eat oan 





Responder cookiet 0000000000000000 
Next payload: security Association (33) 


Exchange type: IKE_SA_INIT (34) 
国 Flags: 0x08 
Peg ID: Ox00000000 
gth: 268 
田 a Payload: Security Association (33) 
ee 人 Payload: Key Exchange (34) 
1 






SA 载荷 主要 用 来 协商 IKE Proposal， 如 下 所 示 。 
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Er rr 34 
...。 = Critical Bit: Not Critical 
payload length: 44 
B Type Payload: Proposal (2) #1 
Next payload: NONE / No Next Payload {0) 
0... ,... = Critical Bit: Not Critical 
payload length: 40 
Proposal number: 1 
Protocol ID: IKE 《1) 
SPI ss 0 





Next payTload: 
0.. 
























[SE] pe Payload: Transform (3) 
Next payload: Transform (3) 
0. ..,.。= Critical Bit: Not Critical 
payload length: 8 
Transform Type: Encryption Algorithm (ENCR 
Transform ID (ENCR): ENCR_DES (2) 
SType Payload: Transform (3) 
Next payload: Transform (3) 
@,; .。 = Critical Bit: Not Critical 
payload length: 8 
Transform Type: i 
Transform ID (PRF): PRF F_HMAC_ SHAL C2) 
Type Payload: Transform (3) 
Next payload: Transform (3) 
0. ...。 = Critical Bit: Nor Critical 
payload length: 8 
Transform Type: Integritry Algorithm (INTEG) (3) 
Transform ID (INTEG): AUTH_HMAC_SHA1_96 (2) 
与 Type Payload: Transform (3) 
Next payload: NONE / No Next Payload (0) 
0... .... = Critical Bit: Not Critical 
payload length: 8 
Transform Type: Diffie-Helliman Group (D-H) (4) 


Transform ID (D-H): Default 768-bit MODP group 


KE (Key Exchange) 载荷 和 Nonce 载荷 主要 用 来 交换 密 钥 材料 ， 如 下 所 示 。 


ES Type Payload: security Association (33) 
Type Paylioad: Key Exchange (34) 





Next payload: Nonce (40) 

0... .... = Critical Bit: Not Critical 
payload length: 104 

DH Group #: roa Wg TE MopP group C1) 





© Type pay loud Nonce C40) 
Next payload: Notify (41) 
0... .... = Critical Bit: Not Critical 
payload Yengkh: 36 


IKEv2 通过 IKE SA_INIT 交换 后 最 终 也 生成 三 类 密 钥 。 
一 ”SK_e: 用 于 加 密 第 二 个 消息 对 。 
一 ”SK_a: 用 于 第 二 个 消息 对 的 完整 性 验证 。 
一 SK_d: 用 于 为 Child SA (IPSec SA) 衍生 出 加 密 材料 。 
。 第 二 个 消息 对 (IKE_AUTH) 
负责 身份 认证 ， 并 创建 第 一 个 Child SA 一 对 IPSec SA)。 目 前 两 种 身份 认证 技术 
比较 常用 ， 如 下 所 示 。 
一 ” 预 共 享 密 钥 方式 (pre-share): 设备 的 身份 信息 为 IP 地 址 或 名 称 。 
一 ”数字 证 书 方 式 : 设备 的 身份 信息 为 证 书 和 通过 证 书 私 钥 加 密 的 部 分 消息 
HASH 值 (签名)。 
以 上 身份 信息 都 通过 SKEYID_e 加 密 。 
创建 Child SA 时 ， 当 然 也 要 协商 IPSec 安全 提议 、 被 保护 的 数据 流 。IKEv2 通过 TS 
载荷 (TSi 和 TSr) 来 协商 两 端 设备 的 ACL 规则 , 最 终结 果 是 取 双 方 ACL 规则 的 交集 (这 
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点 跟 IKEv1 不 同 ，IKEv1 没有 TS 载荷 不 协商 ACL 规则 )。 

当 一 个 IKE SA 需要 创建 多 对 IPSec SA 时 ， 例 如 两 个 IPSec 对 等 体 之 间 有 多 条 数据 
流 的 时 候 ， 需 要 使 用 创建 子 SA 交换 来 协商 后 续 的 IPSec SA。 

2. 子 SA 交换 2 条 消息 建立 一 对 IPSec SA 





子 SA 交换 必须 在 IKE 初始 交换 完成 之 后 才能 进行 ,交换 的 发 起 者 可 以 是 KE 初始 
交换 的 发 起 者 ,也 可 以 是 IKE 初始 交换 的 响应 者 。 这 2 条 消息 由 IKE 初始 交换 协商 的 密 
钥 进 行 保护 。 

IKEv2 也 支持 PFS 功能 ， 创 建 子 SA 交换 阶段 可 以 重新 进行 一 次 DH 交换 ， 生 成 新 
的 IPSec SA 密 钥 。 


6.6 IKE/IPSec 对 比 


6.6.1 IKEV1 PK IKEv2 


IKEv1 和 IKEVv2 的 细节 写 了 这 么 多 , 现在 总 结 一 下 二 者 的 主要 差异 点 吧 ， 如 表 6-6 所 示 。 
IKEvl1 和 IKEv2 对 比 






分 两 个 阶段 ， 阶 段 1 分 两 种 模式 : 主 模 式 和 野蛮 模 
式 ， 阶 段 2 为 快速 模式 







不 分 阶段 ， 最 少 4 条 消 





IPSec SA 建立 过 程 | 主 模式 + 快速 模式 需要 9 条 信息 建立 IPSec SA 息 即 可 建立 IPSec SA 
野蛮 模式 + 快速 模式 需要 6 条 信息 建立 IPSec SA 

IKE SA 完整 性 验证 支持 

ISAKMP 载荷 二 者 支持 的 载荷 不 同 ,例如 芭 Ev2 支持 TS 载荷 ， 用 于 协商 ACL，IKEv1 不 支持 

” IKEv1 和 IKEv2 支持 的 载荷 还 有 其 他 不 同 ， 本 节 仅 仅 介绍 了 TS 载荷 

预 共 享 密 钥 on 

认证 方法 数字 证 书 BAD 

远程 接 入 通过 L2TP over IPSec 来 实现 通过 EAP 认证 支持 


显然 代 Ev2 以 其 更 加 快捷 、 更 加 安全 的 服务 胜出 ， 长 江 后 浪 推 前 浪 又 成 为 了 没有 任 
何 悬 念 的 事实 。 


6.6.2 ”IPSec 协议 框架 


安全 协议 (AH 和 ESP)、 加 密 算 法 (DES、3DES、AES)、 验 证 算法 (MD5、SHA1、 
SHA2)、IKE、DH， 这 么 多 的 概念 ， 大 家 搞 清 楚 他 们 之 间 的 关系 了 吗 ? 强 叔 做 了 一 下 总 
结 ， 看 看 能 否 帮 助 大 家 。 

。 安全 协议 (AH 和 ESP) IP 报 文 的 安全 封装 。IP 报 文 穿 上 AH 或 /和 ESP 马 
甲 后 变 为 IPSec 报 文 。 此 “马甲 ”并 非 一 般 马 甲 ， 是 交织 了 “加 密 ” 和 “验证 ”算法 的 
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刀枪 不 入 的 “ 软 犹 甲 ”马甲 穿着 技巧 请 参见 “6.1.2 ”安全 封装 ”)。 二 者 的 差异 如 表 6-7 
所 示 。 


表 6-7 AH 和 ESP 的 差异 











A ESP - 
下 协议 号 50 
数据 完整 性 校 验 支持 (不 验证 包头 ) 
数据 源 验 证 支持 
数据 加 密 支持 
防 报 文 重 放 攻击 支持 
IPSec NATT (NAT 穿越 ) 支持 


。 加 密 算法 (DES、3DES、AES) 一 一 IPSec 报 文 的 易 容 之 术 。IPSec 数据 报 文采 
用 对 称 加 密 算法 进行 加 密 ， 但 只 有 ESP 协议 支持 加 密 ，AH 协议 不 支持 。 另 外 ， 
IKE 协商 报 文 也 会 进行 加 密 。 
. 。 验证 算法 (MD5、SHA1、SHA2) 一 一 IPSec 报 文 的 验 明正 身 之 法 。 加 密 后 的 报 
文 经 过 验证 算法 处 理 生成 数字 签名 ， 数 字 签 名 填写 在 AH 和 ESP 报 文 头 的 完整 
性 校 验 值 ICV 字段 发 送 给 对 端 ; 在 接收 设备 中 ， 通 过 比较 数字 签名 进行 数据 完 
整 性 和 真实 性 验证 。 
。 IKE 一 一 手 握 密 钥 管理 大 权 的 贴心 管家 。IPSec 使 用 IKE 协议 在 发 送 、 接 收 设备 
之 间 安 全 地 协商 密 钥 、 更 新 密 钥 。 
。 DH 算法 一 一 贴心 管家 的 铁 算盘 。DH 被 称 为 公共 密 钥 交换 方法 ， 它 用 于 产生 密 
钥 材料 ， 并 通过 ISAKMP 消息 进行 交换 ， 并 最 终 在 收发 两 端 计 算出 加 密 密 钥 和 
验证 密 钥 。 
这 些 概念 一 一 梳理 过 来 ， 强 叔 不 得 不 感叹 IPSec 协议 设计 者 的 强大 。 这 么 多 新 的 老 
的 协议 、 算 法 拼接 起 来 如 此 天 衣 无 缝 ， 自 此 Internet 的 险恶 被 屏蔽 在 隧道 之 外 ! 为 了 方 
便 大 家 记忆 这 些 缩写 ， 强 叔 用 一 张 简 图 概括 之 ， 如 图 6-17 所 示 。 








wr | 





6-17 IPSec 安全 协议 框架 


写 到 这 里 ， 强 叔 心 情 舒 畅 ， 暗 自 为 天 地 会 网 络 的 顺利 推动 得 意 。 可 是 问题 又 来 了 
将 IKE 应 用 于 IPSec VPN 之 后 ， 那 些 有 固定 公 网 耳 地 址 的 大 中 型 分 舵 的 通信 和 问题 很 快 
就 解决 了 , 可 是 那些 申请 不 到 固定 公 网 卫 地 址 的 分 舵 不 乐意 了 ， 大 呼 厚 此 薄 彼 不 是 真 兄 
弟 ! 没有 固定 公 网 人 P 地 址 的 分 舵 就 无 法 与 总 舵 建立 稳定 的 IPSec VPN， 于 是 天 地 会 提出 
疑问 : 建立 IPSec VPN 的 通信 双方 必须 使 用 固定 的 公 网 IP 地 址 吗 ? 

当然 不 是 ! 下 面 强 叔 就 给 大 家 介绍 一 种 新 的 建立 IPSec VPN 的 方式 一 一 IPSec 模板 
方式 。 
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6.7 IPSec 模板 方式 


与 KE 方式 的 IPSec 安全 策略 一 样 , 模板 方式 IPSec 安全 策略 也 要 依靠 下 E 协 商 IPSec 
隧道 。 模 板 方式 IPSec 安全 策略 最 大 的 改进 就 是 不 要 求 对 端 人 P 地 址 固定 : 可 以 严格 指定 
对 端 IP 地 址 (单个 IP)， 可 以 宽泛 指定 对 端 IP 地 址 (IP 地 址 段 ) 也 可 以 干脆 不 指定 对 
端 IP (意味 着 对 端 IP 可 以 是 任意 IP)。 

模板 方式 IPSec 安全 策略 就 好 像 一 员 猛 将 , 根本 不 把 对 端 IP 放 在 眼 里 , 什么 固定 人 P、 
动态 地 址 、 私 网 他 统统 不 在 话 下 。 只 管 放 马 过 来 ,来 多 少 都 照 单 全 收 。 正 因为 这 种 大 将 
风范 ,模板 方式 IPSec 安全 策略 特别 适用 于 天 地 会 总 舵 ,， 用 于 响应 众多 分 舵 的 协商 请 求 ， 
且 分 舵 数 量 越 多 越 明 显 。 

。 采用 IKE 方式 IPSec 策略 。 总 舵 需 要 配置 N 个 IPSec 策略 ，N 个 IKE 对 等 体 ， 

N= 分 舵 数 量 。 
。 采用 模板 方式 IPSec 策略 。 总 舵 需 要 配置 1 个 IPSec 策略 ， 一 个 IKE 对 等 体 ， 与 
N 的 取 值 无 关 。 

总 之 , 模板 方式 IPSec 安全 策略 的 两 大 优点 令 他 在 PSec 阵营 中 始终 保持 明星 地 位 。 

。 对 发 起 端 要 求 其 少 ， 有 无 固定 公 网 耻 均 可 。 

。 配置 简单 ， 只 要 配置 一 个 IKE Peer 即 可 。 

但 明星 也 有 自己 的 难言之隐 ， 那 就 是 模板 方式 IPSece 安全 策略 只 能 响应 对 端 发 起 的 
协商 请 求 ， 不 能 主动 发 起 协商 。 


6.7.1 在 点 到 多 点 组 网 中 的 应 用 


如 图 6-18 所 示 ， 分 舵 1 和 分 舵 2 的 出 接口 采用 动态 方式 获取 公 网 下 地 址 。 要 求 在 分 舵 1 
与 总 舵 、 分 舵 2 与 总 舵 之 间 建 立 IPSec 隧道 ， 分 舵 1 与 分 舵 2 之 间 也 可 以 通过 IPSec VPN 通信 。 
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模板 方式 IPSec 安全 策略 配置 逻辑 如 图 6-19 所 示 。 
(D 定 义 需要 保护 的 数据 流 


-_ 










虚线 表示 引用 是 可 选 。 “配置 
实 线 表示 引用 是 必 选 ”下 


图 6-19 ”模板 方式 IPSec 安全 策略 配置 逻辑 示意 图 
模板 方式 IPSec 安全 策略 配置 如 表 6-8 所 示 , IKE 安全 提议 和 IPSec 安全 提议 采用 缺 
省 配置 ， 不 再 详 述 。 分 舵 2 的 配置 与 分 舵 1 类 似 ， 参 考分 舵 1 配置 即 可 。 
表 6-8 配置 模板 方式 的 IPSec VPN 


要 


BE 


配置 IKE 





安全 提议 ike proposal 10 ike proposal 10 
。 ike a 
ike-proposal 10 We 
配置 IKE 对 等 体 | pre-shared-key tiandihuil pe 
/可 以 不 配置 remote-address， 也 可 以 通过 remote- | emote-address 1.1.1.1 
address 指定 P 地 址 段 人 
acl number 3000 acl number 3000 
rule5 it ip destination 172.16.1.0 0.0.0.255 2 
ACL i 人 ii Rt 1 OT rule 5 permit ip source 172.16.1.0 0.0.0.255 
IPSec 安全 提议 ”| ipsec proposala ipsec proposal a 
ipsec policy-template teml 1 /配置 IPSec 策略 模板 
Security acl 3000 ipsec policy policyl 1 isakmp 
IPSec 安全 策略 proposal a security acl 3000 


ike-peer a proposal a 
ipsec policy policyl 12 isakmp template tem1// 配 置 模板 | ike-peera 
方式 IPSec 策略 
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interface GigabitEthemet0/0/2 


。 ;abs ip address 2.2.2.2 255.255.255.0 
点 用 IPSec 安 interface GigabitEthernet0/0/2 
应 用 IPSec 安全 ip address 1.1.1.1 255.255.255.0 ipsec policy policyl auto-neg /配置 
策略 ipsec policy policy1 auto-neg 后 ， 不 需要 流量 触发 就 直接 建 
立 IPSec 隧道 









配置 各 个 需要 互 访 的 私 网 之 间 的 路 由 


以 上 配置 有 两 点 跟 普通 的 IKE 方式 的 安全 策略 有 区 别 ， 大 家 务必 注意 。 
。 总 舵 FW 采用 模板 方式 的 IPSec 策略 。 
模板 方式 的 IPSec 策略 允许 IKE Peer 中 不 配置 remote-address， 或 者 通过 remote- 
address 指定 耻 地 址 段 。 
在 “6.4.2 阶段 1 建立 IKE SA“〈 主 模式 )” 中 ， 我 们 讲 过 remote-address 命令 指定 的 
IP 地 址 有 三 个 作用 ， 那 么 现在 大 家 思考 一 下 ， 在 模板 方式 的 IPSec 策略 中 不 配置 remote- 
address 命令 是 否 会 引起 混乱 呢 ? 如 果 此 时 总 舵 放 弃 一 些 权 利 ， 倒 也 不 会 有 问题 。 
-如 果 总 舵 没 有 配置 remote-address 命令 ， 即 没有 指定 隧道 对 端 IP 地 址 ， 这 
时 总 舵 只 能 接收 分 舵 的 主动 访问 ， 不 验证 分 和 能， 也 不 主动 访问 分 舵 。 
-如 果 总 通用 remote-address 指定 了 隧道 对 端的 IP 地 址 段 ， 那 么 总 舵 就 会 检 
查 一 下 分 舵 的 设备 ID (IP 地 址 ) 是 否 包含 在 卫 地 址 段 中 ， 只 有 包含 在 内 才 
接纳 请 求 。 当 然 此 时 总 舵 也 不 能 主动 访问 分 舵 。 
从 以 上 两 点 可 以 看 出 模板 方式 的 IPSec 策略 使 总 舵 看 起 来 能 够 应 付 对 端 “ 没 有 固定 
IP”“ 没 有 公 网 JP” 的 局 面 ， 这 实际 上 是 以 总 舵 主 动 放弃 了 两 项 权利 为 代价 才 达 到 的 。 
。 ACL 配置 有 讲究 ， 分 舵 越 多 总 舵 的 ACL 配置 越 复杂 。 
一 ”总 舵 FW_A 的 ACL 要 求 包含 两 条 规则 。 
允许 分 舵 2 和 总 舵 FW 访 问 分 舵 1FW,source 必须 包括 分 舵 2 和 总 舵 网 段 ,destination 
为 分 舵 1 网 段 。 本 例 中 不 指定 source， 表 明 source 可 以 为 分 舵 2 也 可 以 为 总 舵 或 其 他 下 
地 址 段 。 
允许 分 舵 1 和 总 舵 FW 访 问 分 艇 2FW,source 必须 包括 分 舵 1 和 总 舵 网 段 , destination 
为 分 舵 2 网 段 。 本 例 中 不 指定 source， 表 明 source 可 以 为 分 舵 1 也 可 以 为 总 舵 或 其 他 了 
地 址 段 。 
一 分 舵 FW 的 ACL 要 求 。 
允许 分 舵 1 FW 访问 分 舵 2 和 总 舵 FEW，source 为 分 舵 1 网 段 ，destination 为 分 艇 2 
和 总 舵 网 段 。 本 例 中 不 指定 destination， 表 明 source 可 以 为 分 舵 2 也 可 以 为 总 舵 或 其 他 
IP 地 址 段 。 
配置 完成 后 进行 验证 如 下 。 
(1) 在 总 舵 FW_A 上 可 以 查看 到 总 舵 跟 分 舵 1 和 分 舵 2 的 FW 都 正常 建立 了 第 一 阶 
段 和 第 二 阶段 安全 联盟 。 
(2) 分 舵 1、 分 舵 2、 总 舵 可 以 互相 通信 。 
问题 : 若 在 FW_B 的 接口 上 应 用 IPSec 策略 时 不 配置 auto-neg 参数 ， 分 舵 1 与 分 舵 2 
可 以 直接 通信 吗 ? 
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(1) 在 分 舵 1 和 分 舵 2 的 FW 上 取消 接口 上 应 用 的 IPSec 策略 后 ， 重 新 应 用 时 不 配 
置 auto-neg 参数 。 由 分 艇 1 的 PC_ B ping 分 舵 2 的 PC_C， 无 法 ping 通 。 
(2) 查看 分 舵 1 的 FW_B 上 安全 联盟 的 建立 情况 。 


<FW_B> display ikesa 


curentikesanumber:2 
conn-id peer : flag phase vpn 
40022 tl RDIST v2:2 public 
7 1 RDIST V2:1 public 


分 舵 1 与 总 舵 之 间 的 安全 联盟 正常 建立 。 
(3) 查看 分 舵 2 的 FW_C 上 安全 联盟 的 建立 情况 。 


<FW_C> display ike sa 
current sa Num :0 


分 舵 2 与 总 舵 FW 之 间 没 有 建立 安全 联盟 。 其 原因 在 于 总 舵 FW 配置 了 模板 方式 IPSec 
安全 策略 ， 只 能 响应 协商 。 所 以 分 舵 1 到 总 舵 FW 的 安全 联盟 正常 创建 了 ， 而 总 舵 到 分 舵 
2 FW 的 安全 联盟 没 法 建立 。 在 分 舵 1 和 分 舵 2 的 FW 上 应 用 IPSec 安全 策略 时 带 上 auto-neg 
参数 后 ，IPSec 安全 联盟 自动 创建 。 由 于 分 舵 1 到 总 舵 FW、 总 舵 到 分 稻 2FW 之 间 的 安全 
联盟 都 已 创建 好 ， 所 以 分 舵 1 跟 分 舵 2 可 以 通信 。 同 样 总 舵 可 以 ping 通 分 舵 。 

至 此 我 们 已 经 介绍 了 三 种 IPSec 安全 策略 : 手工 方式 IPSec 安全 策略 、 IKE 方式 IPSec 
安全 策略 、 模 板 方 式 IPSec 安全 策略 。 这 三 种 IPSec 安全 策略 都 可 以 配置 在 一 个 IPSec 
安全 策略 组 中 。 所 谓 IPSec 安全 策略 组 就 是 一 组 名 称 相同 的 IPSec 安全 策略 。 在 一 个 
IPSec 安全 策略 组 中 最 多 只 能 存在 一 个 模板 方式 IPSec 安全 策略 ， 且 其 序号 必须 最 大 , 即 
优先 级 最 小 。 和 否则 接 入 请 求 先 被 模板 方式 IPSec 安全 策略 接收 了 ， 优 先 级 低 的 IKE 方式 
IPSec 安全 策略 就 无 法 施展 才华 了 。 

模板 方式 IPSec 安全 策略 与 IKE 方式 IPSec 安全 策略 都 需要 通过 IKE 来 协商 IPSec 
隧道 。 协 商 的 过 程 一样 ， 这 里 强 叔 就 不 多 说 了 。 下 面 重 点 讲 讲 模板 方式 IPSec 安全 策略 
的 “特色 ”之 处 。 


6.7.2 ”个 性 化 的 预 共 享 密 钥 


IPSec 模板 中 只 能 引用 一 个 IKE Peer。 而 一 个 IKE Peer 中 只 能 配置 一 个 预 共享 密 钥 ， 
因此 所 有 与 之 对 接 的 对 端 都 必须 配置 相同 的 预 共享 密 钥 。 于 是 问题 来 了 ， 只 要 有 一 个 防 
火 墙 的 预 共享 密 钥 泄露 ， 则 其 他 所 有 防火 墙 的 安全 都 受到 威胁 。 

那么 在 总 舵 跟 多 个 分 舵 对 接 的 点 到 多 点 组 网 中 ， 分 舵 防火 墙 可 以 配置 不 同 的 预 共享 
密 钥 吗 ? 既然 预 共享 密 钥 跟 密 钥 生 成 和 身份 认证 相关 ， 只 要 把 预 共 享 密 钥 与 设备 身份 挂 
钩 就 可 以 。 预 共享 密 钥 认 证 方式 下 可 以 采用 本 地 IP 地 址 或 设备 名 称 进行 身份 认证 。 那 通 
过 人 P 地 址 来 指定 预 共 享 密 钥 或 通过 设备 名 称 来 指定 预 共享 密 钥 就 可 以 为 每 个 分 舵 防火 
墙 配置 “个 性 化 的 预 共 享 密 钥 ”( 仅 USG9500 系列 防火 墙 支 持 ) 了 。 

1. 通过 对 端 下 地 址 为 每 个 分 舵 防 火 墙 指定 个 性 化 预 共 享 密 铀 

此 方式 适用 于 分 舵 防 火 墙 出 口 IP 地 址 固定 的 情况 。 将 总 艇 防火墙 上 ike peer 下 配置 
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的 remote-address 和 pre-shared-key 删 掉 ， 改 为 在 全 局 下 为 每 个 分 艇 防火 墙 配置 remote- 
address 和 pre-shared-key 就 可 以 了 , 这 样 既 保留 模板 方式 的 先进 性 ， 又 巧妙 规避 了 模板 
方式 的 局 限 性 。 关 键 的 配置 如 表 6-9 所 示 。 


表 6-9 ”通过 对 端 IP 地 址 为 对 端 指定 个 性 化 预 共 享 密 钥 






ike peer a 
local-id-type ip 
ike-proposal 10 
remote-address 1.1.1.1 
pre-shared-key tiandihuil 









ike peer a 
local-id-type ip 
ike-proposal 10 


配置 IKE 对 等 体 













配置 个 性 化 预 
共享 密 钥 


ike remote-address 2.2.2.2 pre-shared-key tiandihuil 
ike remote-address 2.2.3.2 pre-shared-key tiandihui2 


2. 通过 对 端 设备 名 称 指定 预 共享 密 钥 

当 分 舵 防 火 墙 出 口 没 有 固定 人 P 地 址 时 ， 可 以 通过 设备 名 称 来 标识 身份 (ike local- 
name), 此 时 总 艇 防火 墙 可 以 在 全 局 下 为 每 个 分 舵 防 火 墙 配置 remote-id 和 pre-shared-key 
即 可 。 关 键 的 配置 如 表 6-10 所 示 。 


表 6-10 通过 设备 名 称 为 对 端 指定 个 性 化 预 共 享 密 钥 
ee 












ike peer a 


local-id-type fgdn /通过 设备 名 称 进行 
ike peer a 身份 认证 时 本 地 认证 类 型 需 配置 为 
配置 IKE 对 等 体 local-id-type ip FQDN 或 USER-FQDN 
ike-proposal 10 ike-proposal 10 
remote-address 1.1.1.1 


pre-shared-key tiandihuil 












配置 本 地 名 称 
配置 个 性 化 预 共 享 密 钥 


EE 


ike remote-id tdhfdl pre-shared-key tiandihuil _ 
ike remote-id tdhfd2 pre-shared-key tiandihui2 
[0 说 明 


总 舵 FW_A 上 配置 的 “ike remote-id ”必须 与 分 艇 1FW_B 上 配置 的 “ike local-name” 
一 致 。 





6.7.3 ” 巧 用 指定 对 端 域名 


分 舵 防火 墙 用 动态 IP 地 址 接 入 的 情况 ，IKE 方式 IPSec 安全 策略 是 否 真 的 束 手 无 
策 呢 ? 

其 实 不 然 , 还 有 一 个 可 以 帮助 IKE 方式 IPSec 安全 策略 解决 问题 的 方法 : 对 端 卫 地 
址 不 固定 ， 当 然 也 就 无 法 配置 remote-address， 但 总 舵 可 以 通过 其 他 方式 间接 获知 卫 地 
” 址 ， 比 如 通过 域名 。 即 总 舵 可 以 用 指定 remote-domain 代替 remote-address; 分 舵 防 火 
墙 上 配置 DNS 获得 域名 和 卫 地 址 之 间 的 映射 关系 ， 开 启 DDNS 保证 映射 关系 能 够 实时 
更 新 。 当 然 配置 动态 域名 的 方式 也 适用 于 模板 方式 PSec 策略 。 关 键 的 配置 如 表 6-11 所 示 。 
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表 6-11 IKE Peer 中 指定 对 端 域名 

























仅 1 IKE Peer 中 配置 有 变化 
ike peer a 

ike-proposal 10 
pre-shared-key tiandihuil 
remote-domain www.adcd.3322.0rg 





IPSec 配置 无 变化 





1. 开启 域名 解析 


dns resolve | 
dns server 200.1.1.1 
2. 配置 DDNS 策略 ”// 以 下 配置 需 联系 
DDNS 服务 提供 商 , 并 根据 DDNS 服务 提供 
商 的 说 明 操 作 
ddns policy abc 

ddns client www.adcd.3322.0rg 

ddns server Www.3322.0rg 

ddns username abc123 password abc123 


3. 应 用 DDNS 策略 ”//dialer 口 为 ADSL 
接口 对 应 的 逻辑 接口 。 这 种 方案 在 分 舵 采 用 
ADSL 拨号 口 的 场景 中 应 用 较 多 ， 故 本 例 分 


舵 的 DDNS 策略 应 用 到 了 dialer 口上 
ddns client enable 

interface dialer 1 

ddns apply policy abc 


新 增 配置 


此 方案 的 局 限 性 在 于 动态 接 入 方 必须 有 固定 域名 ， 另 外 还 增加 了 DNS 和 DDNS 的 
配置 ， 有 点 小 复杂 。 所 以 不 如 模板 式 IPSec 安全 策略 好 用 ， 所 以 只 在 不 得 不 用 时 才 会 
使 用 。 


6.7.4 总 结 


模板 方式 IPSec 安全 策略 很 强大 吧 ? 实际 场景 中 ， 它 并 不 是 孤军 作战 的 ， 只 有 模板 
方式 IPSec 安全 策略 和 IKE 方式 IPSec 安全 策略 联合 作战 才能 全 线 告 捷 ， 二 者 的 配伍 关 
系 如 表 6-12 所 示 。 


表 6-12 模板 方式 IPSec 安全 策略 和 IE 方式 IPSec 安全 策略 配合 使 用 场景 
下 RAR Fw 


苞 胸 下 地 丰 国 定 {分 凡事 地 址 “NE 方式 IPS 六 赂 或 措 析 方式 
总 舵 下 地 址 固定 + 分 舵 IP 地 址 | 模板 方式 IPSec 策略 或 IKE 方 式 
动态 获取 IPSec 策略 〈 指 定 对 端 域名 ) | 下 E 方式 下 Sec 策略 






总 舵 卫 地 址 动态 获取 + 分 舵 IP | 模板 方式 IPSec 策略 或 IKE 方 式 | IKE 方式 IPSec 策略 
地 址 动态 获取 IPSec 策略 《指定 对 端 域名 ) (指定 对 端 域名 ) 


模板 方式 IPSec 安全 策略 真 的 很 强大 ， 只 要 总 舵 FW 手持 这 顶 盾牌 ,分 舵 FW 有 没 
有 公 网 地 址 ， 是 固定 配置 还 是 动态 获得 ， 似 乎 通通 不 用 关心 。 但 实际 上 细 研 究 一 下 就 可 
以 发 现 ， 模 板 方式 IPSec 安全 策略 对 待 公 网 IP 地 址 和 私 网 IP 地 址 态度 是 不 一 样 的 。 当 
对 端 是 私 网 IP 地址 时 ， 模 板 方式 IPSec 安全 策略 还 要 要 些小 手段 才能 搞定 ! 
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6.8 NAIT 穿越 


前 文 说 到 模板 方式 IPSec 安全 策略 可 以 解决 总 舵 与 出 口 IP 地 址 不 固定 的 分 舵 建立 
IPSec 隧道 的 问题 。 至 此 , 无 论 是 拥有 固定 公 网 IP 的 分 舵 还 是 动态 获得 公 网 IP 地 址 的 分 
~ 舵 ， 都 可 以 通过 IPSec 隧道 安全 地 访问 总 舵 ， 天 地 会 业务 兴隆 一 片 祥和 。 

但 Internet 的 江湖 远 非 如 此 平静 ， 天 地 会 又 面临 新 的 问题 。 有 的 分 舵 连 动态 的 公 网 
IP 地 址 都 没有 ， 只 能 先 由 网 络 中 的 NAT 设备 进行 地 址 转换 ， 然 后 才能 访问 Internet， 此 
时 分 舵 能 和 否 正常 访问 总 舵 ? 另外 ， 分 艇 除了 访问 总 艇 之 外 ， 还 有 访问 Internet 的 需求 ， 
有 些 分 舵 在 防火 墙 上 同时 配置 了 IPSec 和 NAT， 两 者 能 和 否 和 平 共 处 ? 如 何 解决 上 述 这 两 
个 问题 ， 且 听 强 叔 一 一 道 来 。 


6.8.1 NAT 穿越 场景 简介 


先 来 看 网 络 中 存在 NAT 设备 的 情况 ， 如 图 6-20 所 示 ， 分 舵 防火 墙 的 出 接口 IP 是 私 
网 地 址 ， 必 须 经 过 NAT 设备 进行 地 址 转换 ， 转 换 为 公 网 人 P 地 址 之 后 才能 与 总 艇 防火 墙 
建立 IPSec 隧道 。 


NAT 设备 





图 6-20 NAT 穿越 场景 


我 们 都 知道 , IPSec 是 用 来 保护 报 文 不 被 修改 的 , 而 NAT 却 专门 修改 报 文 的 他 地址， 
看 起 来 两 者 水 火 不 容 。 我 们 来 详细 分 析 一 下 ， 首 先 ， 协 商 IPSec 的 过 程 是 由 ISAKMP 消 
息 完 成 的 ， 而 ISAKMP 消息 是 经 过 UDP 封装 的 ， 源 和 目的 端口 号 均 是 500，NAT 设备 
可 以 转换 该 消息 的 PP 地 址 和 端口 ， 因 此 ISAKMP 消息 能 够 顺利 的 完成 NAT 转换 ， 成 功 
协商 IPSec 安全 联盟 。 但 是 数据 流量 是 通过 AH 或 ESP 协议 传输 的 , 在 NAT 转换 过 程 中 
存在 问题 。 下 面 分 别 看 一 下 AH 和 ESP 报 文 能 否 通 过 NAT 设备 。 

。 AH 协议 

因为 AH 对 数据 进行 完整 性 检查 ， 会 对 包括 人 P 地 址 在 内 的 整个 IP 包 进 行 HASH 运 
算 。 而 NAT 会 改变 耻 地址， 从 而 破坏 AH 的 HASH 值 。 因 此 AH 报 文 无 法 通过 NAT 
网 关 。 

。 ESP 协议 

ESP 对 数据 进行 完整 性 检查 ,不 包括 外 部 的 全 头 ,IP 地 址 转换 不 会 破坏 ESP 的 HASH 
值 ,。 但 ESP 报 文中 TCP 的 端口 已 经 加 密 无 法 修改 , 所 以 对 于 同时 转换 端口 的 NAT 来 说 ， 
ESP 没 法 支持 。 

为 了 解决 这 个 问题 , 必须 在 建立 IPSec 隧道 的 两 个 防火 墙 上 同时 开启 NAT 穿越 功能 
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(Nat Traversal)。 开 启 NAT 穿越 功能 后 ， 当 需要 穿越 NAT 设备 时 ，ESP 报 文 会 被 封装 
到 UDP 头 中 ， 源 和 目的 端口 号 均 是 4500。 有 了 这 个 UDP 头 IPSece 报 文 就 不 怕 被 NAT 
设备 修改 IP 地 址 和 端口 了 。 

根据 NAT 设备 所 处 的 位 置 和 地 址 转换 功能 的 不 同 ， 我 们 从 下 面 三 个 场景 来 分 别 
介绍 。 

场景 一 : NAT 转换 后 的 分 舵 公 网 地 址 未 知 

如 图 6-21 所 示 ，NAT 设备 位 于 运营 商 网 络 内 ， 分 舵 FW 接口 GE0/0/2 的 私 网 全 地 
址 经 过 NAT 设备 转换 后 变 为 公 网 卫 地 址 。 由 于 天 地 会 无 从 获知 经 过 NAT 设备 转换 后 的 
分 舵 公 网 IP 地 址 ， 也 就 无 法 在 总 盘 FW 上 明确 指定 对 端 分 舵 的 公 网 地 址 。 因 此 ， 总 舵 
FW 必须 使 用 模板 方式 来 配置 IPSec 安全 策略 ， 同 时 总 通 和 分 舵 的 FW 上 都 要 开启 NAT 
穿越 功能 。 











! GE0/0/2 ”hk Cs a 
111124 4 1 \ ft 172.16.01/24 ln 


i 








: PC_A ! | PCB |! 
! 192.168.0.2/24 ! 172.16.1.2/24 |; 


So 


图 6-21 NAT 转换 后 的 分 舵 公 网 地 址 未 知 场景 


人 = 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


这 种 场景 下 ， 总 舵 既 然 使 用 了 模板 方式 ， 那 就 无 法 主动 访问 分 和 能， 只 能 由 分 舵 主 动 
向 总 舵 发 起 访问 。 
总 和 能 和 分 舵 FW 的 关键 配置 如 表 6-13 所 示 。 

















ipsec proposal prol ipsec proposal prol 
transform esp // 采 用 ESP 协议 传输 报 文 transform esp /采用 ESP 协议 传输 报 文 
。 ike peer zongduo 
RE Ce shred py tiandihuil 
IKE 对 等 体 pre-shared-key tiandihuil ike-proposal 10 
ike-proposal 10 


remote-address 1.1.1.1 


nat traversal /双方 同时 开启 ， 默 认为 开启 nat traversal /双方 同时 开启 ， 默 认为 开启 










ipsec policy-template teml 1 // 配 置 模板 方式 


security acl 3000 ipsec policy policyl 1 isakmp 


ity acl 3000 
IPSec 安全 策略 | proposal prol ren 
ike-peer fenduo ike-peer zongduo 


ipsec policy policyl 1 isakmp template teml 






场景 二 : NAT 转换 后 的 分 舵 公 网 地 址 可 知 

如 图 6-22 所 示 ，NAT 设备 位 于 分 舵 网 络 之 内 ， 分 艇 FFW 接口 GE0/0/2 的 私 网 全 地 
址 经 过 NAT 设备 转换 后 变 为 公 网 全 地 址 。 由 于 NAT 设备 在 分 舵 控 制 范围 之 内 ， 转 换 后 
的 公 网 地 址 可 知 ， 所 以 总 舵 FW 上 可 以 使 用 模板 方式 也 可 以 使 用 IKE 方式 来 配置 IPSec 
安全 策略 。 
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GEO/0/2 
] 


1.1.1/24 





PC_A 
192.168.0.2/24 


Po---- 


图 6-22 NAT 转换 后 的 分 舵 公 网 地 址 可 知 场景 


需要 注意 的 是 ， 即 便 使 用 IKE 方式 ， 总 舵 也 无 法 主动 与 分 舵 建立 IPSec 隧道 。 这 不 
是 IPSec 的 问题 ， 而 是 NAT 设备 的 问题 。NAT 设备 只 提供 了 源 地 址 转换 ， 实 现 分 舵 ---> 
总 舵 这 一 方向 的 访问 ， 分 艇 “隐藏 ”在 NAT 设备 之 后 ， 无 法 实现 总 舵 ---> 分 舵 方 向 的 访 
问 。 如 果 要 实现 总 舵 主动 访问 分 舵 FW_B 的 私 网 地 址 ， 则 需要 在 NAT 设备 上 配置 NAT 
Server 功能 ， 我 们 会 在 场景 三 中 详细 介绍 。 

以 IKE 方式 IPSec 策略 为 例 ， 总 稻 和 分 艇 FW 的 关键 配置 如 表 6-14 所 示 。 


表 6-14 NAT 穿越 配置 (2) 


ipsec proposal pro 
transform esp /采用 ESP 协议 传输 报 文 


全 提议 
ike peer fenduo 

pre-shared-key tiandihuil 
ike-proposal 10 
nat traversal “// 双 方 同时 开启 ， 默 认为 开启 
remote-address 2.2.2.10 // 对 端 地 址 为 NAT 后 的 
地 址 。 采 用 IKE 方式 时 由 于 对 端 地 址 为 单个 地 址 ， 
所 以 要 求 NAT 设备 的 地 址 池 中 只 有 一 个 地 址 。 模 
板 方式 时 无 此 要 求 
Temote-address authentication-address 172.16.0.1 // 
认证 地 址 为 NAT 前 的 地 址 。 模 板 方式 时 无 此 要 求 
ipsec policy policyl isakmp 

Security acl 3000 

proposal prol 
ike-peer fenduo 



























ipsec proposal prol 


IPSec 安 transform esp /采用 ESP 协议 传输 报 文 





ike peer zongduo 
pre-shared-key tiandihuil 

IKE 对 等 体 ike-proposal 10 

remote-address 1.1.1.1 


nat traversal /双方 同时 开启 ， 默 认为 开启 










ipsec policy policyl 1 isakmp 
security acl 3000 
proposal prol 

ike-peer zongduo 





IPSec 安全 策略 


场景 三 : NAT 设备 提供 NAT Server 功能 

如 图 6-23 所 示 ，NAT 设备 位 于 分 舵 网 络 之 内 ， 提 供 NAT Server 功能 ， 对 外 发 布 的 
地 址 是 2.2.2.20， 映 射 成 私 网 地 址 是 分 舵 FW 接口 GE0/0/2 的 地 址 172.16.0.1。 总 舵 FW 
上 使 用 IKE 方式 来 配置 IPSec 策略 ， 即 可 实现 总 舵 ---> 分 舵 方 向 的 访问 。 

在 NAT 设备 上 配置 NAT Server， 将 2.2.2.20 的 UDP 500 端口 和 4500 端口 分 别 映射 
到 172.16.0.1 的 UDP 500 端口 和 4500 端口 ， 具 体 配置 如 下 。 


[NAT] nat server protocol udp global 2.2.2.20 S00 inside 172.16.0.1 500 
[NAT] nat server protocol udp global 2.2.2.20 4500 inside 172.16.0.1 4500 


同时 , 由 于 NAT 设备 上 配置 NAT Server 时 会 生成 反 向 Server-map 表 , 所 以 分 舵 FW 
也 可 以 主动 向 总 舵 发 起 访问 。 报 文 到 达 NAT 设备 后 ， 匹 配 反 向 Server-map 表 ， 源 地 址 
转换 为 2.2.2.20， 即 可 实现 分 舵 ---> 总 舵 方 向 的 访问 。 
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te = ES ED ME. OD DOE Oe OES TS 9 OB EV Eb OE 全- 0 
| 总 舵 1 NAT Server 分 舵 
和 Global: 2.2.2.20 

E0/0/2 3 GE0/0/2 

.1.1.1/24 172.16.0.1/24 

= GE00/0 

' 172.16.0.2/24 
人 NAT 设备 
| PC_A : PCB | 
! 192.168.0.2/24 172.16.1.2/24 ， 


~ 


图 6-23 NAT 设备 提供 NAT Server 功能 场景 


总 稻 和 分 舵 FW 的 关键 配置 如 表 6-15 所 示 。 
表 6-15 ”NAT 穿越 配置 (3) 





ipsec proposal prol 


transform esp ”// 采 用 ESP 协议 传输 报 文 







ipsec proposal prol 
transform esp ”// 采 用 ESP 协议 传输 报 文 


ike peer fenduo 
pre-shared-key tiandihuil 
ike-proposal 10 
nat traversal /双方 同时 开启 ， 默 认为 开启 
remote-address 2.2.2.20 /对 端 地 址 为 Server 
的 Global 地 址 
remote-address authentication-address 172.16. 
0.17W 认 证 地 址 为 NAT 转换 前 的 地 址 


ipsec policy policyl isakmp 


IPSec 安全 提议 














ike peer zongduo 
pre-shared-key tiandihuil 
ike-proposal 10 
remote-address 1.1.1.1 
nat traversal /双方 同时 开启 ， 默 认为 开启 


IKE 对 等 体 










ipsec policy policyl 1 isakmp 


本 Security acl 3000 Security acl 3000 
IPSec 安全 策略 proposal prol proposal prol 
ike-peer fenduo ike-peer zongduo 





NAT 穿越 场景 下 的 配置 有 三 点 独特 之 处 。 
e 两 端 必须 同时 开启 NAT 穿越 功能 (nat traversal)， 即 便 是 只 有 一 端 防火 墙 出 口 
是 私 网 IP 地 址 。 
。 由 于 分 舵 防 火 墙 出 口 “ 隐 藏 ”在 NAT 设备 之 后 ， 在 总 舵 防 火 墙 “ 看 来 ”隧道 对 
端的 IP 地 址 是 NAT 转换 后 的 公 网 IP 地 址 。 所 以 在 总 舵 采 用 IKE 方式 IPSec 策 
略 时 remote-address 命令 指定 的 IP 地 址 是 NAT 转换 后 的 地 址 , 不 再 是 对 端 发 起 
IKE 协商 的 私 网 地 址 。 
。 由 于 remote-address 命令 指定 的 公 网 卫 地 址 不 能 再 同时 用 于 身份 认证 了 ， 所 以 
又 增加 了 一 条 命令 ， 即 remote-address authentication-address 命令 指定 对 端 身 
份 认证 地 址 (必须 是 对 端 设备 NAT 转换 前 的 地 址 ， 是 真正 的 IKE 协商 发 起 端的 
”地 址 )， 本 端 用 这 个 IP 地 址 来 验证 对 端 设备 。 
当然 若 总 舵 配 置 模板 方式 的 IPSec 策略 时 ， 一 样 会 自动 放弃 主动 发 起 访问 的 权利 ， 
也 可 以 不 验证 对 端 设 备 了 ， 此 时 remote-address 和 remote-address _ authentication-address 
命令 就 可 以 不 用 配置 了 。 
下 面 以 第 二 种 场景 为 例 ， 分 别 介绍 一 下 采用 IKEv1 和 IKEv2 时 IPSec 是 如 何 进行 
NAT 穿越 的 。 
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6.8.2 1IKEv1 的 NAT 穿越 协商 


IKEv1 主 模式 下 的 NAT 穿越 协商 报 文 交 互 过 程 如 下 。 
(1) 开启 NAT 穿越 时 ，IKEv1 协商 第 一 阶段 的 消息 四 、@ 会 发 送 标识 NAT 穿越 能 
力 〈 简 称 NATT) 的 Vendor ID 载荷 ， 用 于 检查 通信 双方 是 否 支持 NATT， 如 下 所 示 。 


蚂 Type Payload: vendor ID (13) : RFC 3947 Negotiation of NAT-Traversal in the IKE 
Next payload: Vendor ID (13) 
Payload length: 20 
Vendor ID: 4al31c81070358455c5728f20e95452f 
Vendor ID: RFC 3947 Negotiation of NAT-Traversal in the IKE 
S Type Payload: Vvendor ID (13) : draft-ietf-ipsec-nat-t-ike-02\n 
Next paylioad: Verndor ID (13) 
Payload length: 20 
Vendor ID: 90cb80913ebb696e086381b5ec427bif 
Vendor ID: draft-ietf-ipsec-nat-t-ike-02\n 
G Type Payload: Vendor ID (13) : draft-ietf-ipsec-nat-t-ike-00 
Next payload: NONE / NO Next Payload (0) 
Payload jength: 20 
Vendor ID: 4485152d18b6bbcdobe8a8469579ddcc 
Vendor IDb: draft-ietf-ipsec-nat-t-ike-00 
AN » hy, Wg A 
当 双 方 都 在 各 自 的 消息 中 包含 了 该 载荷 时 ， 才 会 进行 相关 的 NAT-T 协商 。 
(2) 主 模 式 消息 @@ 和 消息 @@ 中 发 送 NAT-D (NAT Discovery) 载荷 。NAT-D 载荷 用 
y 本 、 ~» ys 
于 探测 两 个 要 建立 IPSec 隧道 的 防火 墙 之 间 是 否 存 在 NAT 网 关 以 及 NAT 网 关 的 位 置 ， 


如 下 所 示 。 


B Type Payload: NAT-D (RFC 3947) (20) 
Next payload: NAT-D (RFC 3947) (20) 
Payload length: 24 


remote HASH of the address and t: C2954146c97839f5eb42bb0438395a42de5f6aa5 
BB Type Payload: NAT-D CRFC 3947) 《20) 


Next payload: NONE / No Next Payload (0) 
payload length: 24 


local HASH of the address and port: 88870822cf707e8da4023106192e8489f0e684ed 


协商 双方 通过 NAT-D 载荷 向 对 端 发 送 源 和 目的 卫 地 址 与 端口 的 HASH 值 ， 就 可 以 
检测 到 地 址 和 端口 在 传输 过 程 中 是 否 发 生变 化 。 如 果 接 收 方 根据 收 到 的 报 文 计算 出 来 的 
HASH 值 与 对 端 发 来 的 HASH 值 一 样 ， 则 表示 它们 之 间 没 有 NAT 设备 。 否 则 ， 说 明 传 
输 过 程 中 有 NAT 设备 转换 了 报 文 的 了 P 地 址 和 端口 。 

第 一 个 NAT-D 载荷 为 对 端 IP 和 端口 的 HASH 值 ， 第 二 个 NATD 载荷 为 本 端 耻 和 
端口 的 HASH 值 。 

(3) 发 现 NAT 网 关 后 , 后 续 ISAKMP 消息 ( 主 模式 从 消息 @) 的 端口 号 转换 为 4500。 
ISAKMP 报 文 标识 了 “Non-ESP Marker”， 如 下 所 示 。 


田 User Datagram Protocol, .srs 
BUop Encapsulation of Ipsec ee 


| 田 rp security Association and Key Management Protocol © 


(4) 在 IKEv1 第 二 阶段 会 协商 是 否 使 用 NAT 穿越 以 及 NAT 穿越 时 IPSec 报 文 的 封 
装 模 式 ， UDP 封装 隧道 模式 报 文 (UDP-Encapsulated-Tunnel) 和 UDP 封装 传输 模式 报 
文 (UDP-Encapsulated-Transport)。 

IKEv1 为 ESP 报 文 封装 UDP 头 ，UDP 报 文 端口 号 为 4500。 当 封装 后 的 报 文通 过 
NAT 设备 时 ，NAT 设备 对 该 报 文 的 外 层 IP 头 和 增加 的 UDP 头 进行 地 址 和 端口 号 转换 。 
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S User Datagram Protocol, Src Port: 1 
Source port: ipsec-nat-t (4500) 
Destination port: jpsec-nat-t (4500) 
Length: 100 

甸 Checksum: se (none) 
ackets 
再 一 一 一 一 a payload 


6.8.3 1IKEv2 的 NAT 穿越 协商 


IKEv2 的 NAT 穿越 协商 报 文 交互 过 程 如 下 。 

(1) 开启 NAT 穿越 后 ，IKE 的 发 起 者 和 响应 者 都 在 IKE_SA_INIT 消息 对 中 包含 类 
型 为 NAT_ DETECTION_SOURCE IP 和 NAT DETECTION _DESTINATION _IP 的 通知 载 
荷 。 这 两 个 通知 载荷 用 于 检测 在 将 要 建立 IPSec 隧道 的 两 个 防火 墙 之 间 是 否 存 在 NAT， 
哪个 防火 墙 位 于 NAT 之 后 ,如果 接收 到 的 NAT_DETECTION_SOURCE 通知 载荷 没有 匹 
配 数 据 包 IP 头 中 的 源 他 和 端口 的 HASH 值 , 则 说 明 对 端 位 于 NAT 网 关 后 面 。 如 果 接 收 
到 的 NAT_ DETECTION _DESTINATION _IP 通知 载荷 没有 匹配 数据 包 IP 头 中 的 目的 IP 
和 端口 的 HASH 值 ， 则 意味 着 本 端 位 于 NAT 网 关 之 后 。 


Type Payload: Notify (41) 

Next payload: Notify (41) 

0... ,... = Critical Bit: Not Critical 

payload length: 28 

Protrocol ID: RESERVED (0) 

SPI Size: 0 

Notify Message Type: NAT_ DETECT. SOURCE IP (16388) 

Notification DATA: 6729d884a9f751 yi 
B Type Payload: Notify (41) 

Next payload: NONE / No Next Payload {0) 

0..、..-- = Critical Bit: Not Critical 

payload length: 28 

Protocol ID: RESERVED (0) 

Spr Size: 0 

Notify Message Type: NAT DETECTION DESTINATION IP (16389) 

Notification DATA: 908595db62cb4f3d4f782f156a67iS5dd03cfc6c8 


(2) 检测 到 NAT 网 关 后 ， 从 I 代 E_AUTH 消息 对 开始 ISAKMP 报 文 端 口号 改 为 4500。 
报 文 标识 “Non-ESP Marker”。 


S User Datagram Prorocol, Src Port: ipsec-nat-t (4500), Dst Port: ipsec-nat-t (4500) 
Ssource port: ipsec-nat-t 4500) 
Destination port: ipsec-nat-t (4500) 
Length: 240 

Checksum: Oxef30 {validation disabled] 

pp Encapsulation of IPsec Packets 
Non-ESP Marker 

TInternet Security Association and Key Management protocol 


IKEv2 中 也 使 用 UDP 封装 ESP 报 文 ，UDP 报 文 端 口号 为 4500。 当 封装 后 的 报 文通 
过 NAT 设备 时 ，NAT 设备 对 该 报 文 的 外 层 IP 头 和 增加 的 UDP 头 进行 地 址 和 端口 号 转换 。 


. User Datagram Protocol, Src Port: 1 
Source port: ipsec-nat-t (4500) 
| Destination port: ipsec-nat-t (4500) 
Length: 100 
@ Checksum: Ox0000 (none) 
UDP Encapsulation of IPsec Packets 
EB Encapsulating security Payload 





在 第 二 种 场景 中 ， 配 置 完成 后 PC_A 可 以 ping 通 PC B。 在 总 舵 FW_A 上 查看 KE 
SA 和 IPSec SA 的 建立 情况 ， 如 下 所 示 。 
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<FW_A> display ike sa 
current ike sa number: 2 


conn-id peer flag phase vpn 
40014 2.2.2.10:264 RD vl:2 public 
40011 2.2.2.10:264 RD vl:l public 


在 总 舵 FW_A 上 查看 会 话 如 下 所 示 。 


<FW_ A> display firewall session table 

Current Total Sessions : 2 
udp VPN:public --> public 2.2.2.10:2050-->1.1.1.1:4500 
udp VPN:public --> public 2.2.2.10:2054-->1.1.1.1:500 


在 分 舵 FW_B 上 查看 会 话 如 下 所 示 。 


<FW B> display firewall session table 
Current Total Sessions : 2 
udp VPN:public --> public 172.16.0.1:4500-->1.1.1.1:4500 
udp VPN:public --> public 172.16.0.1:500-->1.1.1.1:500 ”// 刚 开始 协商 时 端口 号 还 是 500 


因为 中 间 NAT 设备 上 配置 了 源 NAT 转换 ， 所 以 分 舵 FW_B 上 只 有 分 舵 到 总 舵 方向 
的 会 话 ， 没 有 总 舵 到 分 舵 方向 的 会 话 。 


6.8.4 IPSec 与 NAT 并 存 于 一 个 防火 墙 


前 面 讲 了 IPSec 穿越 NAT 的 情况 ， 当 IPSec 和 NAT 同时 配置 在 一 台 防 火 墙 上 时 ， 
会 有 什么 问题 呢 ? 

如 图 6-24 所 示 ， 分 舵 FW_B 上 同时 配置 了 IPSec 和 NAPT，IPSec 用 于 保护 分 舵 跟 
总 舵 通 信 的 流量 ，NAPT 处 理 的 是 分 舵 访问 Internet 的 流量 。 总 和 能 FW_A 上 同时 配置 了 
IPSec 和 NAT Server，IPSec 用 于 保护 总 舵 跟 分 舵 通 信 的 流量 ，NAT Server 处 理 的 是 
Internet 用 户 访 问 总 舵 服 务 器 的 流量 。 


IPSec 隧道 






192.168.0.1/24 
(Global 地 址 : 1.1.1.1) 


图 6-24 IPSec 与 NAT 并 存 于 一 个 网 关 


按理 说 两 台 防 火 墙 上 IPSec 流量 和 NAT 流量 应 该 是 泾 渭 分 明 , 互 不 相干 , 其 实 不 然 。 
本 例 中 的 IPSec 和 NAT 处 理 的 流量 是 有 重 炙 的 , 而 在 防火 墙 的 转发 流程 中 , NAT 在 上 游 
环节 ，IPSec 在 下 游 环 节 ， 所 以 IPSec 流量 难免 会 受到 NAT 处 理 流程 的 干扰 。 即 原本 应 
该 进入 IPSec 隧道 的 流量 一 旦 命中 NAT 策略 就 会 进行 NAT 转换 ， 转 换 后 的 流量 不 会 再 
匹配 IPSec 中 的 ACL 了 ， 也 就 不 会 进行 IPSec 处 理 了 。 所 以 ， 此 时 若 处 理 不 好 IPSec 和 
NAT 的 关系 ， 就 会 出 现 莫 名 其 妙 的 问题 。 

e。 对 于 分 舵 , 会 出 现 分 舵 用 户 访问 总 舵 用 户 不 成 功 的 现象 。 经 检查 发 现 分 舵 用 户 访 
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问 总 舵 用 户 的 流量 没有 进入 IPSec 隧道 ， 都 匹配 了 NAT 策略 。 
。 对 于 总 舵 , 会 出 现 总 舵 服务 器 访问 分 舵 用 户 不 成 功 的 现象 。 总 舵 服 务 器 访问 分 舵 
用 户 的 流量 都 匹配 了 NAT Server 的 反 向 Server-map 表 ， 无 法 进入 IPsec 隧道 。 
解决 这 两 个 问题 的 方法 很 简单 ， 如 下 。 
。 IPSec 和 NAPT 并 存 于 一 个 防火 墙 时 的 要 求 。 
需要 在 NAT 策略 中 配置 一 条 针对 IPSec 流量 不 进行 地 址 转换 的 策略 , 该 策略 的 优先 
级 要 高 于 其 他 的 策略 ， 并 且 该 策略 中 定义 的 流量 范围 是 其 他 策略 的 子 集 。 这 样 的 话 ， 
IPSec 流量 会 先 命中 不 进行 NAT 转换 的 策略 ， 地 址 不 会 被 转换 ， 也 就 不 会 影响 下 面 
IPSec 环节 的 处 理 ， 而 需要 进行 NAT 处 理 的 流量 也 可 以 命中 其 他 策略 正常 转换 。 
下 面 给 出 了 一 段 NAT 策略 的 配置 脚本 ， 在 Trust->Untrust 安全 域 间 配置 了 两 条 
NAT 策略 policy 1 和 policy 2。 
nat-policy interzone trust untrust outbound 
policy1 /需要 IPSec 保护 的 流量 不 进行 NAT 转换 
action no-nat 
‘policy source 172.16.1.0 mask 24 
policy destination 192.168.0.0 mask 24 
policy2 /访问 Intemet 的 流量 进行 NAT 转换 
。 action source-nat 
policy source 172.16.1.0 mask 24 
address-group 1 


。 IPSec 和 NAT Server 并 存 于 一 个 防火 墙 时 要 求 如 下 。 
在 配置 NAT Server 时 指定 no-reverse 参数 ， 不 生成 反 向 Server-map 表 即 可 。 


[FW_A] nat server protocol tcp global 1.1.1.1 9980 inside 192.168.0.1 80 no-reverse 


理解 以 上 问题 的 关键 在 于 理解 防火 墙 转发 流程 ， 而 防火 墙 转发 流程 非常 复杂 ， 这 里 
只 透露 了 冰山 一 角 ， 有 关 防 火 墙 转发 流程 的 详细 说 明 请 参见 “附录 A 报 文 处 理 流程 ”。 


6.9 ”数字 证 书 认 证 


随 着 分 舵 数 量 越 来 越 多 ， 总 稻 和 每 个 分 舵 之 间 形 成 的 对 等 体 都 要 配置 预 共享 密 钥 。 
如 果 所 有 对 等 体 都 使 用 同一 个 密 钥 ， 存 在 安全 风险 ; 而 每 个 对 等 体 都 使 用 不 同 的 密 钥 ， 
又 不 便于 管理 和 维护 。 所 以 天 地 会 吸 需 一 个 新 的 身份 信息 认证 方案 来 代替 预 共享 密 钼 方 
式 ， 降 低 管理 成 本 。 既 然 天 地 会 的 总 舵 和 分 舵 都 是 以 合法 生意 (如 当铺 和 票 号 ) 作为 掩 
护 ， 不 如 直接 向 官府 的 刑部 申请 为 当铺 和 票 号 发 放 身份 赁 证， 标明 当铺 和 票 号 的 身份 信 
息 。 因 为 刑部 是 公正 的 、 可 信赖 的 官府 部 门 ， 所 以 盖 着 刑部 大 印 的 身份 凭证 也 就 是 可 信 
任 的 ， 总 舵 和 分 舵 就 可 以 直接 通过 身份 凭证 来 验证 双方 的 身份 。 

这 个 身份 凭证 就 叫 作 数字 证 书 ， 简 称 证 书 ， 是 由 第 三 方 机 构 颁发 的 代表 设备 身份 信 
息 的 “身份 证 ”。 通过 引入 证 书 机 制 ， 总 舵 和 分 舵 可 以 简单 便捷 地 进行 身份 认证 。 关 于 证 
书 的 进一步 介绍 请 参见 “附录 B 证 书 浅 析 ”。 

在 详细 介绍 证 书 的 实现 原理 和 获取 方法 之 前 ， 我 们 先 来 了 解 一 下 公 钥 密码 学 和 PKI 
框架 的 知识 
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6.9.1 公 钥 密码 学 和 PKI 框架 


在 “6.1 IPSec 简介 ”中 ， 我 们 提 到 过 对 称 密码 学 ， 即 总 舵 和 分 舵 使 用 相同 的 密 钥 来 
加 密 和 解密 。 与 之 对 应 的 是 非 对 称 密码 学 ， 即 加 密 和 解密 数据 使 用 不 同 的 密 铀 ， 也 叫 作 
公 钥 密码 学 。 目 前 较 常 用 的 公 钥 密码 学 算法 有 RSA (Ron Rivest、Adi Shamirh、 
LenAdleman) 和 DSA (Digital Signature Algorithm ) 。 

公 钥 密码 学 中 使 用 了 两 个 不 同 的 密 钥 : 一 个 可 对 外 界 公开 的 密 钥 称 为 “ 公 钥 ” 只 
有 所 有 者 知道 的 密 钥 称 为 “ 私 钥 ”。 这 一 对 密 钥 的 特点 是 ， 使 用 公 钥 加 密 的 信息 只 能 用 相 
应 的 私 钥 解密 ， 反 之 使 用 私 钥 加 密 的 信息 也 只 能 用 相应 的 公 钥 解 密 。 

利用 公 钥 和 私 钥 的 这 个 特点 ， 就 可 以 实现 通信 双方 的 身份 认证 。 例 如 ， 某 个 分 舵 防 
火 墙 使 用 自己 的 私 钥 对 信息 进行 加 密 (数字 签名 ), 而 总 舵 防 火 墙 使 用 分 艇 防火 墙 对 外 公 
开 的 公 钥 进行 解密 。 因 为 其 他 人 没有 该 分 舵 防火 墙 的 私 钥 ， 所 以 只 要 总 舵 使 用 对 应 的 公 
钥 可 以 解密 信息 就 确定 信息 是 由 该 分 舵 发 出 来 的 ， 从 而 实现 身份 认证 功能 。 

了 解 公 钥 密码 学 的 基本 概念 后 ， 如 何在 实际 环境 中 应 用 公 钥 密码 学 理论 呢 ? PKI 
(Public Key Infrastructure， 公 钥 基 础 设施 ) 正 是 一 个 基于 公 钥 密码 学 理论 来 实现 信息 安 
全 服务 的 基础 框架 ,数字 证 书 是 其 核心 组 成 部 分 ， 而 IKE 借用 了 PKI 中 的 证 书 机 制 来 进 
行 对 等 体 的 身份 认证 。 

PKI 框架 中 包括 以 下 两 个 重要 角色 。 

e 终端 实体 (EE，End Entity): 证 书 的 最 终 使 用 者 ， 例如 总 舵 和 分 舵 的 防火 墙 。 

。 证 书 颁发 机 构 (CA，Certificate Authority):; 是 一 个 权威 的 、 可 信任 的 第 三 方 机 

构 〈 类 似 刑部 )， 负 责 证 书 颁发 、 查 询 以 及 更 新 等 工作 。 

在 IPSec 中 ， 总 能 和 分 舵 的 防火 墙 是 证 书 的 最 终 使 用 者 ， 要 想 为 防火 墙 生成 证 书 ， 
首先 需要 保证 防火 墙 自己 的 公私 密 钥 对 是 存在 的 。 我 们 可 以 在 总 能 和 分 舵 的 防火 墙 上 创 
建 公 私密 钥 对 ， 然 后 将 公 钥 、 防 火 墙 的 信息 〈 实 体 信 息 ) 发 送 给 CA 进行 证 书 申请 ; 也 
可 以 在 CA 上 为 总 艇 和 分 舵 的 防火 墙 生 成 公私 密 钥 对 ， 并 在 此 基础 上 生成 证 书 ， 然 后 在 
总 舵 和 分 舵 的 防火 墙 上 分 别 导 入 各 自 的 公私 密 钥 对 和 证 书 。 本 章 主要 讲解 总 和 能 和 分 舵 防 
火 墙 自己 创建 公私 密 钥 对 并 申请 证 书 的 内 容 ，CA 为 总 能 和 分 舵 防 火 墙 生成 公私 密 钥 对 
和 证 书 的 过 程 请 参见 “附录 B 证 书 浅 析 ”。 


[0 说 明 
本 篇 中 所 提 到 的 证 书 分 为 两 种 类 型 : 防火 墙 自身 的 证 书 称 为 本 地 证 书 ， 代 表 防 火 墙 的 
身份 ; 而 CA“ 自 签名 ”的 证 书 称 为 CA 证书 ， 又 叫 根 证 书 ， 代 表 了 CA 的 身份 。 


上 面 简单 介绍 了 证 书 涉及 的 几 个 重要 概念 ， 下 面 我 们 来 看 一 下 如 何 为 总 稻 和 分 舵 的 
防火 墙 获取 到 证 书 。 
6.9.2 ”证 书 申请 


总 舵 和 分 艇 的 防火 墙 申 请 证 书 前 ， 必 须 先生 成 公私 密 钥 对 ， 然 后 将 公 钥 以 及 防火 墙 
的 实体 信息 提供 给 CA， 由 CA 根据 这 些 信息 来 生成 证 书 。 总 舵 和 分 舵 防火 墙 可 以 通过 
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下 面 两 种 方式 申请 证 书 。 
。 在 线 方式 〈 带 内 方式 ) 
防火 墙 和 CA 通过 证 书 申请 协议 交互 报 文 , 在线 申请 证 书 ， 申 请 到 的 证 书 直接 保 
存 到 防火 墙 的 存储 设备 中 (Flash 或 CF 卡 ), 常 用 的 证 书 申请 协议 有 SCEP(Simple 
Certification Enrollment Protocol) 和 CMP (Certificate Management Protocol)。 该 
方式 适用 于 防火 墙 支持 SCEP 或 CMP 的 情况 ， 同 时 依赖 于 防火 墙 与 CA 之 间 网 
络 的 连通 状态 。 
。 离线 方式 〈 带 外 方式 ) 
首先 ， 防 火 墙 生成 证 书 请 求 文件 〈 内 容 包括 公 铀 和 实体 信息 )， 我 们 将 该 文件 通 
过 磁盘 、 电 子 邮件 等 方式 发 送 给 CA。 然 后 ，CA 根据 证 书 请 求 文件 为 防火 墙 制 
作证 书 ， 同 样 通过 磁盘 、 电 子 邮件 等 方式 将 证 书 返 回 。 最 后 ， 我 们 将 证 书 上 传 到 
防火 墙 的 存储 设备 中 。 该 方式 适用 于 防火 墙 不 支持 SCEP 或 CMP 的 情况 ， 或 者 
防火 墙 与 CA 之 间 无 法 通过 网 络 互 访 的 情况 。 
上 述 两 种 方式 可 根据 防火 墙 的 实际 情况 灵活 选择 ,下 面 以 离线 方式 为 例 ,结合 图 6-25 
所 示 的 组 网 环境 ， 介 绍 总 舵 和 分 舵 防 火 墙 获 取证 书 的 过 程 。 








1.1.1.1/24 3.3.3.3/24 


图 6-25 IKE/IPSec 组 网 


离线 方式 申请 证 书 的 流程 如 图 6-26 所 示 。 
通过 磁盘 、 电 子 邮 件 等 方式 发 送 至 CA 


通过 磁盘 、 电 子 邮 件 等 方式 返回 





! 防火 墙 的 证 书 


[| 


6-26 ”离线 方式 申请 证 书 的 流程 
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1. 创建 公私 密 钥 对 

首先 ,在 FW_A 和 FW_B 上 创建 各 自 的 公私 密 钥 对 , 在 申请 证 书 时 会 用 到 公 钥 信息 。 
创建 过 程 中 ， 系 统 会 提示 输入 公 钥 的 位 数 , 位 数 的 长 度 范 围 从 512 到 2 048。 公 钥 的 长 度 
越 大 ， 其 安全 性 就 越 高 ， 但 计算 速度 相对 来 说 比较 慢 。 这 里 我 们 要 求 最 高 的 安全 性 ， 所 
以 输入 2 048。 

在 FW_A 上 创建 公私 密 钥 对 ， 如 下 所 示 。 


[FW_A] rsa local-key-pair create 

The key name will be: FW _A_Host 

The range of public key size is (512 ~ 2048). 
NOTES: Ifthe key modulus is greater than 512, 


Tt will take a few minutes. 
Input the bits in the modulus[default = 512]:2048 
Generating keys... 
a a 十 + 十 
a 十 + 二 
二 十 十 二 二 二 二 二 
和 二 


在 FW_B 上 创建 公私 密 钥 对 ， 如 下 所 示 。 


[FW_B] rsa local-key-pair create 

The key name will be: FW_B_Host 

The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512, 


Tt will take a few minutes. ， 
Input the bits in the modulus[default = 512]:2048 
Generating keys... 
省 二 
人 nd a 十 二 十 
a 十 二 + 二 二 HH 十 
十 二 二 二 十 二 十 十 


2. 配置 实体 信息 

申请 证 书 时 ，FW_A 和 FW_B 必须 向 CA 提供 能 够 证 明 自 己 身份 的 信息 ， 实 体 信息 
代表 的 就 是 防火 墙 的 身份 信息 , 包括 : 通用 名 称 (Common Name)、FQDN (Fully Qualified 
Domain Name) 名 称 、IP 地 址 、 电 子 邮 箱 地 址 等 。 其 中 ， 通 用 名 称 是 必须 配置 的 ， 而 其 
他 几 项 是 可 选 配置 的 。 

上 述 信息 都 将 会 包含 在 证 书 中 ， 在 IKE 对 等 体 中 配置 ID 类 型 时 ， 就 可 以 根据 证 书 
中 包含 的 实体 信息 来 决定 使 用 哪 种 ID 类 型 来 进行 认证 。 

实体 信息 配置 完成 后 ， 还 需要 在 PKI 域 中 引用 实体 信息 。 表 6-16 给 出 FW_A 和 FW_B 
上 实体 信息 和 PKI 域 的 配置 情况 。 


表 6-16 配置 实体 和 PKI 














pki entity fwa pki entity fwb 


common-name fwa // 通 用 名 称 common-name fwb // 通 用 名 称 
实体 信息 fadn fwa.tdh.com /WEFQDN 名 称 fqdn fwb.tdh.com /FQDN 名 称 
ip-address 1.1.1.1 WIP 地 址 ip-address 3.3.3.3 /IP 地 址 


email fwa(@tdh.com 
pki domain fwa 
certificate request entity fwa ”//PKI 域 中 引用 实体 信息 


/Email 地 址 /Email 地 址 






email fwb(@tdh.com 
pki domain fwb 
certificate request entity fwb //PKI 域 中 引用 实体 信息 
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3. 生成 证 书 请 求 文件 

接 下 来 就 可 以 在 FW_A 和 FW_B 上 生成 证 书 请 求 文件 ， 生 成 的 证 书 请 求 文件 以 “PKI 
恩 名 .req” 的 名 字 保 存在 FW_A 和 FW_B 的 存储 设备 中 ，FW_A 生成 的 证 书 请 求 文件 名 
字 是 fwa.req，FW_B 生成 的 证 书 请 求 文件 名 字 是 fwb.req。 


[FW_A] pki request-certificate domain fywa pkcs10 
Creating certificate request file... 

Info: Create certificate request file successfully. 
[FW_B] pki request-certificate domain fwb pkcs10 
Creating certificate request file... 

Info: Create certificate request file successfully. 


在 FW_A 上 查看 生成 的 证 书 请 求 文件 ， 可 以 看 到 里 面包 含 了 上 面 配置 的 通用 名 称 、 
FQDN 名 称 、IP 地 址 和 电子 邮箱 地 址 ， 以 及 FW_A 的 公 钥 信息 。 


[FW_Al] display pki cert-req filename fwa.req 
Certificate Request: 
Data: 
Version: 0 (0x0) 
Subject: CN=fwa 
Subject Public Key Info: 
Public Key Algorithm: rsaEncryption 
RSA Public Key: (2048 bib 
Modulus (2048 bit): 
00:ae:68:50:18:e7:55:32:7a:0e:61:b6:6e:47:45: 
ec:fb:29:d9:1b:4a:9d:6b:b0:00:b0:65:c8:fc:5b: 
b4:68:d7:90:7d:96:f7:1d:e4:62:43:06:bc:d0:a3: 
Sb:b4:fa:30;a3:19:7e:6f:7c:05:6b:47:0c:a2:42: 
lb:c4:82:f7:5b:0a:73:al1:0a:8b:00:dd:37:aa:Se: 
21:02:56:b2;e6:55:31:08:8f:71:03:13:92:b9:c1: 
51:7e:51:04:e2:ca:85:2e:45:97:bb:9a:0e:ed:61: 
03:97:d2:1e:44:b2:9f: 人 ff:b9:b1:1d:5d:65:7e:fe: 
e6:13:c3:1e:71:81:d0:fe:a0:60:71:a4:8a:40:93: 
92:e3:b3:b6:cf:56:f1:30:b2:fe:53:31:bd:9d:6f: 
3c:33:]1e:4a:a5:6f:83:c7:45:26:8d:c6:9c:84:85: 
b5:8f:b9:e3:86:86:59:ad:9b:58:63:al:3d:7b:81: 
d7:43:14:3d:98:4a:a2:cb:82:2c:fa:ca:91:32:bl: 
e0:09:de:fa:a8:d6:fc:ea:8e:7e:36:8ffb:86:31: 
le:bc:5e:01:71:6b:b4:23:86:7b:05:c1:63:7a:f5: 
be:a7:9b:al:da:ff:4f:26:2d:33:44:06:72:f]1:7b: 
84:d5:a8:49:1d:be:b4:0e:9c:94:85:34:7b:e5:bb: 
8a:49 
Exponent: 65537 (0x10001) 
Attributes: 
Requested Extensions: 
X509v3 Subject Alternative Name: 
JPAddress:1.1.1.1 DNS:fwa.tdh.com email:fwa(@tdh.com 
Signature Algorithm: md5WithRSAEncryption 
4b:a6:fc:91:2a:77:e3:30:02:bb:e4:0f:1a:bf:d2:al:ad:81: 
3e:44:51:81:b1:26:2d:2e:83:7c:0Qc:29:70:3c:6a:8a:7a:1a: 
27:c8:a4:8d:3b:8f:dc:a7:d7:df:10:be:4c:96:1f:f5:db:96: 
4d:e9:28:82:b9:2d:9b:e6:6d:22:52:ca:50:07:c2:7a:2b:17: 
C7:49:7a:a6:a5:7c:cc:82:02:15:14:ca:9c:69:39:eb:fb:44: 
3a:c9:75:d9:f5:b6:bf:b1:45:e4:e7:f4:db:df:eb:3d:6b:74: 
ac:14:e9:51:af:bl:c8:d6:c1:19:48:be:27:c1:37:59:41:38: 
9c:1f:9a:7e:c7:fe:20:c9:e8:1d:94:55:ff:85:3e:8c:5a:fs: 
f3: 人 ff:9b:18:36:b1:25:2b:4d:60:2e:13:7b:be:91:c0:al:1f: 
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€c:5c:1a:f6:3a:5b:e7:87:2b:43:7f:d8:f6:2b:c8:b1:df:7d: 
©8:40:df:07:f9:52:4c:8b:ba:b0:10:f3:34:00:00:74:0b:ae: 
cl1:7a:9¢:dd:de:26:26:28:30:de:e8:6c:dc:0a:c6:8f:27:27: 

06:0d:5e:8e:68:a8:8d:cc:eb:91:9c:59:3d:1e:f3:f3:58:72: 
16:bf:ce:f5:df:71:be:51:fb:98:83:c5:2b:17:73:d7:0a:6c: 
f7:93:76:f4 


4. CA 根据 证 书 请 求 文件 制作 证 书 

证 书 请 求 文件 生成 后 ， 可 以 将 该 文件 通过 磁盘 、 电 子 邮件 等 方式 将 该 文件 发 送 给 
CA， 由 CA 为 FW_A 和 FW_B 制作 证 书 。 除了 FW_A 和 FW_B 的 证 书 之 外 ，CA 还 会 
提供 自身 的 证 书 ， 即 CA 证 书 。CA 将 制作 好 的 FW_A 和 FW_B 的 证 书 同 自身 的 证 书 一 
道 通 过 磁盘 、 电 子 邮 件 等 方式 返回 。 

常用 的 Windows Server 操作 系统 就 可 以 作 
为 CA 来 制作 和 颁发 证 书 ， 具 体 的 操作 步 又 在 
网 上 都 可 以 搜索 到 ， 在 此 就 不 作 详 细 介 绍 了 。 


经 过 CA 的 处 理 , 最 终 我 们 获取 到 了 FW_ 和 
A 的 证 书 fwa.cer，FW_B 的 证 书 fwb.cer， 以 机 移入 ar 
及 CA 本 身 的 证 书 ca.cer。 图 6-27 展示 了 FW_ -一 
A 的 证 书 fwa.eer 的 内 容 。 822 ones ered con 


将 fwa.cer 和 ca.cer 上 传 到 FW_A 的 存储 
设备 中 , 将 fwb.cer 和 ca.cer 上 传 到 FW_B 的 
存储 设备 中 ， 然 后 还 需要 将 证 书 分 别 导 入 到 
FW A 和 FW _B 上 。 

在 FW_A 上 导入 CA 证 书 和 本 地 证 书 ， 





如 下 所 示 。 6-27 证书 的 内 容 
_EEW_A] pki import-certificate ca filename ca.cer 
Info: Import file successfully. 


_A] pki import-certificate local filename fwa.cer 
Info: Import file successfully. 


在 FW_B 上 导入 CA 证 书 和 本 地 证 书 ， 如 下 所 示 。 
[FW. _B] pki import-certificate ca filename ca.cer 
Info: Import file successfully. 


[FW B] pki import-eertifleate local fllename fwbeer 
Info: Import file successfully. 


6.9.3 ”数字 证 书 方式 的 身份 认证 


导入 证 书后 , FW_A 和 FW_B 都 是 有 “身份 ”的 设备 了 , 在 IKE 对 等 体 中 引入 证 书 ， 
FW_A 和 FW_B 就 可 以 通过 证 书 来 认证 对 方 的 身份 。 

前 面 提 到 过 ， 使 用 证 书 进行 身份 认证 时 ， 可 以 根据 证 书 中 包含 的 实体 信息 来 决定 使 
用 哪 种 ID 类 型 。 目 前 可 以 在 IKE 对 等 体 中 使 用 DN (Distinguished Name)、FQDN、 
User-FQDN 和 了 PP 了 4 种 ID 类 型 。 这 4 种 ID 类 型 对 应 的 证 书 中 字段 以 及 FW_A 和 FW_B 
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上 的 取 值 如 表 6-17 所 示 。 
表 6-17 证 书 中 的 身份 ID 字段 及 防火 墙 上 的 取 值 





DN Subiect 本 端 ID: /CN=fwa 本 端 ID: /CN=fwb 
了 对 端 ID: /CN=fwb 对 端 ID: /CN=fwa 
本 端 ID: fwa.tdh.com 本 端 ID: fwb.tdh.com 
Po 对 端 ID: fwb.tdh.com 对 端 ID: fwa.tdh.com 
User-FQDN 本 端 ID: fwa@tdh.com 本 端 ID: fwb@tdh.com 
对 端 ID: fwb@tdh.com 对 端 ID: fwa@tdh.com 
本 端 ID: 1.1.1.1 本 端 ID: 3.3.3.3 
严 A 对 端 ID: 3.3.3.3 对 端 ID: 1.1.1.1 


表 6-18 以 ID 类 型 是 DN 为 例 ， 介 绍 FW_A 和 FW_B 的 关键 配置 。 





表 6-18 配置 IKE/DPSec 证 书 认证 
ike proposal 10 2 
Se /5 ike proposal 10 
IKE 安全 提议 ee method rsa-sig// 采 用 证 书 ofhentication-method rn:6ig /采用 证 书 认证 方式 
ike peer fwb 
ike peer fwa 
< localfilename fwaicer /EW | ititicate looal iioname Nboer /让 内 吾 的 古书 
ike-proposal 10 
O ike-proposal 10 E 

IKE 对 等 体 be 1 local-id-type dn /ID 类 型 为 DN 
remote-id /CN=fwb WEFW B 的 DN PR WFW_A 的 DN 
remote-address 3.3.33 W/EW B 的 人 P 地 址 remote-address 1.1.1.1 /WJFW_A 的 他 地 址 





证 书 属性 访问 pki certificate access-control-policy default 
和 pki certificate access-control-policy default permit 
控制 策略 pommit 


采用 证 书 方式 的 IKE 协商 过 程 与 采用 预 共 享 密 钥 方式 的 IKE 协商 过 程 大 致 相同 , 不 
同 之 处 在 于 采用 证 书 方式 时 ， 两 端 交 互 身份 信息 的 ISAKMP 消息 ( 主 模 式 是 第 @@、@ 条 
ISAKMP 消息 ; 野蛮 模式 是 第 申 、@ 条 ISAKMP 消息 ) 中 多 了 证 书 载荷 和 签名 载荷 ， 具 
体 协商 过 程 不 再 闭 述 。 

至 此 ， 天 地 会 找到 了 可 以 代替 预 共享 密 钥 方 式 的 身份 信息 认证 方案 。 当 新 的 分 舵 与 
总 舵 FW 建立 IPSec 连接 时 ， 只 需要 在 同一 个 CA 为 该 分 舵 申 请 证 书 ， 然 后 分 艇 和 总 舵 
就 可 以 通过 证 书 来 进行 身份 认证 ， 从 而 无 需 再 为 每 个 分 舵 和 总 舵 之 间 的 对 等 体 都 维护 一 
个 预 共 享 密 钥 ,减少 了 天 地 会 的 管理 成 本 。 


DO 说 明 


数字 证 书 除了 在 IPSec 中 使 用 之 外 , 还 可 以 应 用 于 SSL VPN 中 客户 端 和 服务 器 的 身份 
认证 ， 详 细 内 容 将 会 在 “第 8 章 SSLVPN 中 介绍 。 


除了 新 发 展 的 分 舵 ， 天 地 会 还 有 一 些 老 的 分 能， 已 经 通过 GRE 或 L2TP 方式 接 入 总 
舵 。 如 何 借 力 IPSec 在 不 改变 原 有 接 入 方式 的 基础 上 使 这 些 分 能 和 总 舵 之 间 可 以 安全 通 
信 了 昵 ， 强 叔 为 此 进行 了 深入 研究 。 
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6.10 GRE/L2TP over IPSec 


IPSec 兼容 并 济 胸 襟 宽广 已 为 世人 公认 ， 所 以 当 GRE 和 L2TP VPN 为 自己 的 安全 性 
苦恼 时 ，IPSec 及 时 出 手相 助 。IPSec 将 GRE 隧道 和 L2TP 隧道 视 为 受 保护 对 象 ， 即 报 文 
先进 行 GRE 或 L2TP 封装 ， 然 后 再 进行 IPSec 封装 。 这 样 分 艇 和 总 舵 之 间 的 通信 不 用 改 
动 原 有 的 接 入 方式 ， 就 可 以 受到 IPSec 的 保护 。 这 种 方式 相当 于 是 两 种 不 同类 型 的 隧道 
区 加 ， 也 叫 作 GRE over IPSec 和 L2TP over IPSec。 

下 面 先 来 看 一 下 在 分 舵 通 过 GRE 接 入 总 舵 的 场景 中 ， 如 何 使 用 IPSec 来 保护 GRE 
隧道 。 

6.10.1 分 舵 通过 GRE over IPSec 接 入 总 舵 


如 图 6-28 所 示 ， 总 稻 FW_A 和 分 舱 FW_B 已 经 建立 了 GRE 隧道 ， 现 需要 在 GRE 
隧道 之 外 再 封装 IPSec 隧道 ， 对 总 稻 和 分 舵 的 通信 进行 加 密 保护 。 










GEO0/0/1 GEO/0/1 


3.3.3.3/24 





- IPSec GRE 、 

隧道 隧道 BB 

A 192.168.1.2 
192.168.0.2 S20 


图 6-28 ”GRE over IPSec 组 网 图 
前 面 我 们 介绍 过 ，IPSec 有 两 种 封装 模式 : 传输 模式 和 隧道 模式 。IPSec 对 GRE 隧 
道 进行 封装 时 ， 这 两 种 模式 的 封装 效果 也 不 尽 相 同 。 
1. 传输 模式 
在 传输 模式 中 , AH 头 或 ESP 头 被 插入 到 新 的 卫 头 与 GRE 头 之 间 , 如 图 6-29 所 示 。 


原始 报 文 





GRE 封装 报 文 


AH 封装 报 文 


ESP 封装 报 文 





AH-ESP 封装 报 文 


6-29 ”传输 模式 下 GRE over IPSec 报 文 封装 
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传输 模式 不 改变 GRE 封装 后 的 报 文 头 ，IPSec 隧道 的 源 和 目的 地 址 就 是 GRE 封装 
后 的 源 和 目的 地 址 。 
2.， 隧道 模式 
在 隧道 模式 中 ，AH 头 或 ESP 头 被 插 到 新 的 IP 头 之 前 ， 另 外 再 生成 一 个 新 的 报 文 头 
放 到 AH 头 或 ESP 头 之 前 ， 如 图 6-30 所 示 。 


原始 报 文 
GRE 封装 报 文 
AH 封装 报 文 


ESP 封装 报 文 





AH-ESP 封装 报 文 | 


图 6-30 ”隧道 模式 下 GRE over IPSec 报 文 封装 


隧道 模式 使 用 新 的 IPSec 报 文 头 来 封装 经 过 GRE 封装 后 的 消息 , 封装 后 的 消息 共有 
3 个 报 文 头 : 原始 报 文 头 、GRE 报 文 头 和 IPSec 报 文 头 ，Internet 上 的 设备 根据 最 外 层 的 
IPSec 报 文 头 来 转发 该 消息 。 

封装 GRE 报 文 头 时 ， 源 和 目的 地 址 可 以 与 IPSec 报 文 头 中 的 源 和 目的 地 址 相同 ， 即 
使 用 公 网 地 址 来 封装 ， 也 可 以 使 用 私 网 地 址 封装 GRE 报 文 头 ， 例 如 ， 创 建 Loopback 接 
口 并 配置 私 网 地 址 ， 然 后 在 GRE 中 借用 Loopback 接口 的 地 址 来 封装 。 

在 GRE over IPSec 中 ， 无 论 IPSec 采用 传输 模式 还 是 隧道 模式 ， 都 可 以 保护 两 个 网 
络 之 间 通 信 的 消息 。 这 是 因为 GRE 已 经 进行 了 一 次 封装 ,原始 报 文 就 可 以 是 两 个 网 络 之 
间 的 报 文 。 


[0 说 明 
隧道 模式 与 传输 模式 相 比 多 增加 了 新 的 IPSec 报 文 头 ， 导 致 报 文 长 度 更 长 ， 更 容易 导 
致 分 片 。 如 果 网 络 环境 要 求 报 文 不 能 分 片 ， 推 荐 使 用 传输 模式 。 


如 表 6-19 所 示 ， 以 隧道 模式 下 ESP 封装 为 例 ， 来 对 总 艇 和 分 舵 之 间 的 GRE 隧道 进 
行 加 密 保 护 。 首 先 给 出 总 舵 FW_A 和 分 舵 FW _B 的 关键 配置 。 















表 6-19 配置 GRE over IPSec VPN 
如 果 使 用 公 网 地 址 进行 封装 ， 进 行 如 下 | 如 果 使 用 公 网 地 址 进行 封装 ， 进 行 如 下 
配置 : 配置 : 
GRE 配置 interface Tunnell interface Tunnel 


1 
ip address 10.1.1.2 255.255.255.0 
tunnel-protocol gre 


ip address 10.1.1.1 255.255.255.0 
tunnel-protocol gre 






222 





















source 1.1.1.1 // 使 用 公 网 地 址 封装 
destination 3.3.3.3 // 使 用 公 网 地 址 封装 


如 果 使 用 私 网 地 址 进行 封装 ， 进 行 如 下 
配置 : 
interface LoopBackl 

ip address 172.16.0.1 255.255.255.0 
interface Tunnell 

ip address 10.1.1.1 255.255.255.0 

tunnel-protocol gre 
Source LoopBack 1 

destination 172.16.0.2 //FW_B 的 Loopbackl 接 
口 地 址 





GRE 配置 


ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 /假设 下 一 跳 
为 1.1.1.2 
ip route-static 192.168.1.0 255.255.255.0 Tunnell 


路 由 配置 


acl number 3000 
rule 5 permit ip source 1.1.1.1 0 destination 3.3.3.3 

0 /定义 GRE 封装 后 的 源 地 址 和 目的 地 址 

如 果 使 用 私 网 地 址 进行 封装 ， 此 处 的 源 地 址 应 为 

172.16.0.1， 目 的 地 址 应 为 172.16.0.2 





ACL 


IKE 安全 提议 


ike proposal 1 ”// 使 用 默认 参数 


ike peer fwb 
pre-shared-key tiandihui 
ike-proposal 1 
remote-address 3.3.3.3 


IKE 对 等 体 


ipsec proposal 1 
transform esp 
encapsulation-mode tunnel 
esp authentication-algorithm shal 
esp encryption-algorithm aes 


IPSec 安全 
提议 


ipsec policy policyl 1 isakmp 
Security acl 3000 
ike-peer fwb 
Proposal 1 


IPSec 安全 
策略 


interface GigabitEthermetO/O/1 
ip address 1.1.1.1 255.255.255.0 
ipsec policy policyl 


应 用 IPSec 
安全 策略 
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source 3.3.3.3 // 使 用 公 网 地 址 封装 
destination 1.1.1.1 // 使 用 公 网 地 址 封装 


如 果 使 用 私 网 地 址 进行 封装 ， 进 行 如 下 
配置 : 
interface LoopBackl 
ip address 172.16.0.2 255.255.255.0 
interface Tunnell 
ip address 10.1.1.2 255.255.255.0 
tunnel-protocol gre 
source LoopBack 1 
destination 172.16.0.1 
口 地 址 


WFW_A 的 Loopbackl 接 


ip route-static 0.0.0.0 0.0.0.0 3.3.3.1 
为 3.3.3.1 
ip route-static 192.168.0.0 255.255.255.0 Tunnell 


// 假 设 下 一 跳 


acl number 3000 

rule $5 permit ip source 3.3.3.3 0 destination 1.1.1.1 
0 // 定 义 GRE 封装 后 的 源 地 址 和 目的 地 址 
如 果 使 用 私 网 地 址 进行 封装 ， 此 处 的 源 地 址 应 为 
172.16.0.2， 目 的 地 址 应 为 172.16.0.1 


ike proposal 1 ”// 使 用 默认 参数 
ike peer fwa 
pre-shared-key tiandihui 


ike-proposal 1 
remote-address 1.1.1.1 


ipsec proposal 1 
transform esp 
encapsulation-mode tunnel 
esp authentication-algorithm shal 
esp encryption-algorithm aes 


ipsec policy policyl 1 isakmp 
Security acl 3000 
ike-peer fwa 
proposal 1 


interface GigabitEthernet0/0/1 
ip address 3.3.3.3 255.255.255.0 
ipsec policy policyl 


从 上 面 的 表格 可 以 看 出 ， 配 置 GRE over IPSec 时 ， 与 单独 配置 GRE 和 IPSec 没有 
太 大 的 区 别 。 唯 一 需要 注意 的 地 方 是 ， 通 过 ACL 定义 需要 保护 的 数据 流 时 ， 不 能 再 以 
总 舵 和 分 舵 内 部 私 网 地 址 为 匹配 条 件 ， 而 是 必须 匹配 经 过 GRE 封装 后 的 报 文 ， 即 定义 
报 文 的 源 地 址 为 GRE 隧道 的 源 地 址 ， 目 的 地 址 为 GRE 隧道 的 目的 地 址 。 

配置 完成 后 , 在 分 舵 中 的 PC_B 可 以 ping 通 总 舵 的 PC_A, 在 Internet 上 抓 包 只 能 看 
到 加 密 后 的 信息 ， 无 法 获取 到 真实 的 ping 消息 ， 如 下 所 示 。 
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Ethernet II， Src: 0 i 95:00 LDOO2O0 7 0 Dst: mete :1d:28 (54:89:98:f0:1d:28) 
Prot 


J 
ESP Sequence: 10 


5 i - -一 
0010 00 88 00 09 00 00 fF 32 ba 33 03 03 03 03 01 0 


在 总 舵 FW_A 上 可 以 查看 到 如 下 会 话 信息 ， 会 话 信息 中 包括 了 原始 的 ICMP 报 文 、 
第 一 层 封装 即 GRE 封装 、 第 二 层 封装 即 IPSec 封装 ， 其 中 GRE 封装 和 IPSec 封装 使 用 
和 目的 地 址 。 


[FW_A] display firewall session table 
Current Total Sessions : 4 
udp ls a 1.1.1:500 
esp VPN:public -> public 3.3.3.3:0-->1.1.1.1:0 
gre VPN:public --> public 3.3.3.3:0-->1.1.1.1:0 
icmp VPN:public --> public 192.168.1.2:2862-->192.168.0.2:2048 


介绍 完 GRE over IPSec 后 ， 下 面 来 看 一 下 使 用 IPSec 来 保护 L2TP 隧道 的 情况 。 
6.10.2 “分 舵 通 过 L2TP over IPSec 接 入 总 舵 


在 “第 5 章 GRE&L2TP VPN” 中 我 们 介绍 了 L2TP 有 3 种 类 型 ,分 别 是 Client-Initiated 
VPN、NAS-Initiated VPN 和 LAC-Auto-Initiated VPN。 其 中 Client-Initiated VPN 属于 单独 
的 移动 用 户 远程 接 入 ， 我 们 将 在 下 文中 的 远程 接 入 部 分 介绍 。NAS-Initiated VPN 和 LAC- 
Auto-Initiated VPN 都 可 以 实现 两 个 网 络 之 间 的 通信 ， 在 这 里 我 们 重点 以 NAS-Initiated 
VPN 为 例 来 介绍 。 

如 图 6-31 所 示 ， 总 舵 FW_A 和 分 稻 FW_B 已 经 建立 了 NAS-Initiated 方式 的 L2TP 
隧道 ， 现 需要 在 L2TP 隧道 之 外 再 封装 IPSec 隧道 ， 对 总 舵 和 分 舵 的 通信 进行 加 密 保护 。 














GEO/0/1 
1.1.1.1/24 


GEO/0/1 






IPSec 隧道 PPPoE Client 


图 6-31 L2TP over IPSec 组 网 


IPSec 对 L2TP 隧道 进行 封装 时 ， 传 输 模式 和 隧道 模式 的 封装 过 程 如 下 所 示 。 
1. 传输 模式 
在 传输 模式 中 ，AH 头 或 ESP 头 被 插入 到 新 的 耳 头 与 UDP 头 之 间 ， 如 图 6-32 所 示 。 
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原始 报 文 


L2TP 封装 报 文 


AH 封装 报 文 


ESP 封装 报 文 










L2TPNew 


6-32 ”传输 模式 下 L2TP over IPSec 报 文 封装 


传输 模式 不 改变 L2TP 封装 后 的 报 文 头 ，IPSec 隧道 的 源 和 目的 地 址 就 是 L2TP 封装 
后 的 源 和 目的 地 址 。 

2. 隧道 模式 

在 隧道 模式 中 ，AH 头 或 ESP 头 被 插 到 新 的 全 头 之 前 ， 另 外 再 生成 一 个 新 的 报 文 头 
放 到 AH 头 或 ESP 头 之 前 ， 如 图 6-33 所 示 。 


AH-ESP 封装 报 文 






原始 报 文 
L2TP 封装 报 文 
AH 封装 报 文 
ESP 封装 报 文 


ESP 封装 报 文 ma 
图 6-33 ”隧道 模式 下 L2TP over IPSec 报 文 封装 


隧道 模式 使 用 新 的 IPSec 报 文 头 来 封装 经 过 L2TP 封装 后 的 消息 ， 封 装 后 的 消息 共 
有 三 个 报 文 头 : 原始 报 文 头 、L2TP 报 文 头 和 IPSec 报 文 头 ，Internet 上 的 设备 根据 最 外 
层 的 IPSec 报 文 头 来 转发 该 消息 。 

在 L2TP over IPSec 中 ， 由 于 L2TP 已 经 进行 了 一 次 封装 ， 原 始 报 文 就 是 两 个 网 络 之 
间 的 报 文 ， 所 以 无 论 IPSec 采用 传输 模式 还 是 隧道 模式 ， 都 可 以 保护 两 个 网 络 之 间 通 信 
的 消息 。 


[0 说 明 
隧道 模式 与 传输 模式 相 比 多 增加 了 新 的 IPSec 报 文 头 ， 导 致 报 文 长 度 更 长 ， 更 容易 导 
致 分 片 。 如 果 网 络 环境 要 求 报 文 不 能 分 片 ， 推 荐 使 用 传输 模式 。 
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下 面 以 隧道 模式 下 ESP 封装 为 例 ,来 对 总 舵 和 分 艇 之 间 的 L2TP 隧道 进行 加 密 保 护 。 
表 6-20 给 出 总 舵 FW_A 和 分 舵 FW_B 的 关键 配置 。 


表 6-20 配置 L2TP over IPSec VPN 





interface Virtual-Templatel 
ppp authentication-mode chap 
ip address 10.1.1.1 255.255.255.0 


l2tp enable 
remote address pool 0 Il2tp-proup 
teious 1 tunnel authentication 
L2TP 配置 tunnel authentication 


tunnel password cipher Tiandihuil23 
start 12tp ip 1.1.1.1 fullusemame 12tpuser 
tunnel name lac 


tunnel password cipher Tiandihuil23 
allow 12tp virtual-template 1 remote lac 
aaa 
local-user 12tpuser password cipher Password1l 
local-user 12tpuser service-type ppp 
ip pool 0 192.168.1.2 192.168.1.10 


路 由 配置 ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 /假设 下 一 跳 | ip route-static 0.0.0.0 0.0.0.0 3.3.3.1 /假设 下 一 跳 











为 1.1.1.2 为 3.3.3.1 
acl number 3000 acl number 3000 
ACL rule 5 permit ip source 1.1.1.1 0 destination 3.3.3.3 rule 5 permit ip source 3.3.3.3 0 destination 1.1.1.1 
0 /定义 L2TP 封装 后 的 源 地 址 和 目的 地 址 0 /定义 L2TP 封装 后 的 源 地 址 和 目的 地 址 
IKE 安全 提议 | ike proposal 1 /使 用 默认 参数 ike proposal 1 ”// 使 用 默认 参数 
ike peer fwb ike peer fwa 
| pre-shared-key tiandihui pre-shared-key tiandihui 
IKE 对 等 体 ike-proposal 1 ike-proposal 1 
remote-address 3.3.3.3 remote-address 1.1.1.1 
ipsec proposal 1 ipsec proposal 1 
Gad transform esp transform esp 
下 Ses 全 encapsulation-mode tunnel encapsulation-mode tunnel 
提议 esp authentication-algorithm shal esp authentication-algorithm shal 
esp encryption-algorithm aes esp encryption-algorithm aes 
a ipsec policy policyl 1 isakmp ipsec policy policyl 1 isakmp 
IPSec 安全 security acl 3000 security acl 3000 
策略 ike-peer fwb ike-peer fwa 
proposal 1 proposal 1 
应 用 IPSec interface GigabitEthernetO/O/1 interface GigabitEthernet0/0/1 


i ip address 1.1.1.1 255.255.255.0 ip address 3.3.3.3 255.255.255.0 
安全 策略 ipsec policy policyl ipsec policy policy1l 


同 GRE over IPSec 类 似 , 在 L2TP over IPSec 中 定义 ACL 时 , 不 能 再 以 总 舵 和 分 舵 
内 部 私 网 地 址 为 匹配 条 件 ， 而 是 必须 匹配 经 过 L2TP 封装 后 的 报 文 ， 即 定义 报 文 的 源 地 
址 为 L2TP 隧道 的 源 地 址 ， 目 的 地 址 为 L2TP 隧道 的 目的 地 址 。 

配置 完成 后 ， 分 舵 中 的 PPPoE Client 发 起 拨号 访问 ， 分 能 FW_B 和 总 舵 FW_A 先进 
行 IPSec 协商 , 建立 IPSec 隧道 , 然后 在 IPSec 隧道 的 保护 下 进行 L2TP 协商 , 建立 L2TP 
隧道 。 同 样 ， 在 Internet 上 抓 包 也 只 能 看 到 加 密 后 的 信息 ， 无 法 获取 到 L2TP 隧道 中 传输 
的 消息 。 

通过 部 署 PSec 对 GRE 和 L2TP 隧道 进行 加 密 保 护 ， 天 地 会 这 些 老 旧 的 分 舵 又 焕发 
了 青春 。 接 下 来 天 地 会 又 面临 新 的 问题 ， 总 舵 的 堂 主 经 常会 出 差 到 各 个 分 舵 指 导 工 作 ， 
而 总 舵 中 有 一 些 紧急 帮 务 需要 他 们 及 时 处 理 。 如 果 堂 主 恰巧 在 分 舵 中 ， 就 可 以 通过 分 舵 
接 入 总 舵 。 但 是 如 果 堂 主 正在 路 途中 ， 就 只 能 通过 Client-Initiated VPN 方式 的 L2TP 接 
入 总 舵 ， 但 是 此 时 通信 的 安全 性 无 法 保证 。 而 借助 于 IPSec， 就 可 以 保证 移动 用 户 远程 
接 入 场景 中 的 通信 安全 。 
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6.10.3 ”移动 用 户 使 用 L2TP over IPSec 远程 接 入 总 舵 


在 L2TP 中 ，Client-Initiated VPN 方式 专门 适用 于 移动 用 户 远程 接 入 的 场景 。 在 此 基 
础 上 ， 使 用 IPSec 来 对 L2TP 隧道 进行 加 密 保 护 ， 这 也 是 一 种 L2TP over IPSec 的 应 用 。 

如 图 6-34 所 示 ， 总 舵 FEW_A 和 分 舵 FW_B 已 经 建立 了 Client-Initiated VPN 方式 的 
L2TP 隧道 ， 现 需要 在 L2TP 隧道 之 外 再 封装 IPSec 隧道 ， 对 总 盘 和 分 舵 的 通信 进行 加 密 
保护 。 








GEO/O/1 
1.1.1.1/24 


堂 主 
(L2TP Client) 


FW_A 
(LNS) 







IPSec 隧道 L2TP 隧道 


PC 
6-34 ”移动 用 户 使 用 L2TP over IPSec 远程 接 入 组 网 


堂 主 可 以 使 用 Windows 系统 自 带 的 客户 端 来 拨号 ， 也 可 以 使 用 第 三 方 的 拨号 软件 
(如 华为 VPN Client 软件 ) 来 拨号 。 如 果 使 用 Windows 系统 自 带 的 客户 端 来 拨号 ， 因 为 
其 只 支持 传输 模式 ， 所 以 在 总 和 能 FW_A 上 也 只 能 配置 传输 模式 的 IPSec。IPSec 对 Client- 
Initiated VPN 方 式 的 L2TP 隧道 的 封装 效果 与 上 文 介绍 过 的 NAS-Initiated VPN 方 式 相同 ， 
此 处 不 再 闭 述 。 

下 面 以 堂 主 使 用 Windows 7 系统 自 带 的 客户 端 拨号 接 入 总 舵 为 例 ， 给 出 总 舵 FW_A 
和 L2TP Client 的 关键 配置 。 如 表 6-21 所 示 。 


表 6-21 配置 移动 用 户 使 用 L2TP over IPSec 远程 接 入 












IPsec Policy Agent 状态 : 已 启动 
用 户 名 : 12tpuser 
密码 : Password1 

目的 地 的 主机 名 或 人 地 址 : 1.1.1.1 
VPN 类 型 : 使 用 IPsec 的 第 2 层 隧道 协议 
(L2TP/IPSec) 
身份 验证 : CHAP 





















interface Virtual-Templatel 
ppp authentication-mode chap 
ip address 10.1.1.1 255.255.255.0 
remote address pool 0 
12tp-group 1 // 使 用 L2TP 组 1 
undo tunnel authentication /关闭 隧道 验证 
allow 12tp virtual-template 1 /在 L2TP 组 1 中 
无 需 设 置 隧道 对 端 名 称 
aaa 
local-user 12tpuser password cipher Password1 
local-user 12tpuser service-type ppp 
ip pool 0 192.168.1.2 192.168.1.10 
acl number 3000 
rule 5 permit udp source-port eq 1701 /定义 
L2TP 封装 后 的 源 端口 
ike proposal 1 
encryption-algorithm 3des-cbc 
dh group2 


L2TP 


IKE 加 密 算 法 : 3DES 

IKE 完整 性 算法 : SHA1 

DH 组 : 中 (2) 

ESP 加 密 算 法 : 3DES 

ESP 完整 性 算法 : SHAI1 

预 共 享 密 钥 : tiandihui 

注意 : 此 处 只 给 出 了 Windows 7 系统 自 带 
的 客户 端 上 默认 的 IPSec 配置 ， 如 需 调整 
这 些 IPSec 参数 ， 请 在 Windows 7 系统 的 
“控制 面板 -> 系统 和 安全 -> 管理 工具 -> 本 
地 安全 策略 ”中 设置 他 安全 策略 。 





ike peer client 
pre-shared-key tiandihui 
ike-proposal 1 


IKE 对 等 体 
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ipsec proposal 1 
2 transform esp 
PSS 安全 encapsulation-mode transport /使 用 传输 模式 
提议 esp authentication-algorithm shal 
esp encryption-algorithm 3des 


ipsec policy-template teml 1 
IPSec 安全 Security acl 3000 
ike-peer client 
策略 proposal 1 


ipsec policy policyl 1 isakmp template teml 
IE 
ipsec policy policy 

因为 堂 主 都 是 在 Internet 上 动态 接 入 , 公 网 IP 地 址 不 确定 , 所 以 在 总 舵 FW_A 上 定义 
ACL 时 ， 以 源 端 口 1701 来 匹配 经 过 L2TP 封装 后 的 报 文 。 此 外 ， 由 于 Windows 系统 自 带 
的 客户 端 不 支持 隧道 验证 ， 所 以 还 需要 在 总 和 能 FW_A 上 关闭 L2TP 的 隧道 验证 功能 。 

配置 完成 后 ， 堂 主 就 可 以 使 用 Windows 7 系统 自 带 的 客户 端 随时 随地 接 入 总 舵 ， 在 
IPSec 隧道 的 保护 下 处 理 紧 急事 务 。 而 在 Internet 上 抓 包 也 只 能 看 到 加 密 后 的 信息 ， 无 法 
获取 到 L2TP 隧道 中 传输 的 消息 。 

至 此 ，IPSec 的 主要 应 用 场景 都 介绍 完毕 。 借 助 PSec， 天 地 会 解决 了 一 个 又 一 个 的 
问题 ， 终 于 搭建 起 来 了 涵盖 分 舵 接 入 、 移 动用 户 远 程 接 入 的 加 密 通 信和 网 络 。 网 络 虽 然 搭 
建 起 来 ， 但 是 还 面临 稳定 运行 的 问题 ， 下 面 我 们 就 来 介绍 IKE 对 等 体检 测 、 主 备 链 路 、 
隧道 化 链 路 等 提高 可 靠 性 的 内 容 。 





6.11 ”对 等 体检 测 


天 地 会 应 用 了 IPSec 后 ,通信 安全 得 到 保障 。 当 网 络 上 突 发 问题 时 ， 比 如 路 由 问题 、 
对 端 设备 重启 等 ， 会 导致 IPSec 通信 中 断 或 时 断 时 续 ， 那 么 如 何 才能 快速 地 检测 到 故障 
并 迅速 恢复 IPSec 通信 呢 ? 这 就 需要 用 到 IKE 对 等 体检 测 机 制 和 IPSec 可 靠 性 了 。 

当 两 个 对 等 体 之 间 采 用 IKE 和 IPSec 进行 通信 时 ,对 等 体 之 间 可 能 会 由 于 路 由 问题 、 
IPSec 对 等 体 设备 重启 或 其 他 原因 导致 连接 断 开 。 由 于 IKE 协议 本 身 没有 提供 对 等 体 状 
态 检测 机 制 ， 一 旦 发 生 对 等 体 不 可 达 的 情况 ， 只 能 等 待 安全 联盟 老化 。 只 有 快速 检测 到 
对 等 体 的 状态 变化 ， 才 能 尽快 恢复 IPSec 通信 。 

下 面 我 们 来 看 一 下 由 于 对 端 设备 重启 导致 IPSec 中断 的 情况 ， 如 图 6-35 所 示 。 





PC_A oe 2 
192.168.0.2 MR 


图 6-35 IKE/IPSec VPN 组 网 图 
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FW_A 与 FW_B 之 间 建 立 IPSec 隧道 。 重 启 FW_B 后 ， 查 看 两 端 设备 上 IPSec 隧道 
情况 。 | 
(1) 发 现 FW_A 上 的 IPSec 隧道 还 存在 。 


<FW_A> display ike sa 


current ike sa number: 2 

conn-id peer flag phase vpn 
40015 2.2.3.2 RD vl:2 public 
40014 2.2.3.2 RD vl:l public 


(2) 发 现 FW_B 重启 后 其 上 的 IPSec 隧道 不 存在 了 。 


<FW_B> display ike sa 
current ike sa number: 0 


这 样 就 会 出 现下 面 的 情况 。 
。 总 舵 的 PC_A 先 访问 分 舵 的 PC_B， 无 法 通信 。 
其 原因 就 在 于 FW_A 上 的 安全 联盟 还 存在 ， 但 FW_B 上 的 安全 联盟 已 经 不 存在 
了 。 从 PC_A 访问 PC_B 会 采用 原 有 的 安全 联盟 ， 而 无 法 触发 FW_A 与 FW_B 
之 间 建 立新 的 安全 联盟 。 从 而 导致 访问 失败 。 
。 分 舵 的 PC_B 先 访问 总 舵 的 PC_A， 可 以 正常 通信 。 
因为 FW_B 上 不 存在 安全 联盟 ， 因 此 可 以 触发 建立 安全 联盟 。 安 全 联盟 建立 后 ， 
双方 可 以 正常 通信 。 
针对 这 种 问题 的 解决 办 法 就 是 需要 开启 IKE 对 等 体检 测 机 制 , 来 帮助 KE 协议 检测 
故障 。 开 启 IKE 对 等 体检 测 机 制 后 ， 当 一 端 设 备 故障 后 ， 另 一 端 设 备 的 安全 联盟 也 同时 
删除 。 对 等 体检 测 机 制 虽然 不 是 必 配 项 , 但 对 IPSee 故障 恢复 有 益 , 推荐 大 家 在 配置 IKE 
时 一 定 配置 其 中 一 种 检测 机 制 。 
华为 防火 墙 支持 两 种 IKE 对 等 体检 测 机 制 。 


6.11.1 ”Keepalive 机 制 


Keepalive 机 制 通过 对 等 体 周 期 性 交换 Hello/ACK 消息 来 告知 对 方 自己 处 于 活动 状 
态 ， 如 果 在 超时 时 间 内 没有 收 到 Hello 报 文 ， 则 认为 对 端 不 可 达 ， 此 时 将 删除 该 IKE SA 
及 由 它 协商 的 IPSec SA。 

Keepalive 机 制 默认 关闭 ， 配 置 相 应 参数 后 ，Keepalive 机 制 生效 。 

实际 应 用 中 Keepalive 机 制 很 少 使 用 ， 主 要 是 因为 Keepalive 机 制 存 在 两 个 方面 的 
缺陷 。 

。 Keepalive 机 制 周 期 性 发 送 Hello 报 文 将 消耗 大 量 的 CPU 资源 ， 会 限制 可 建立 的 

IPSec 会 话 的 数量 。 
e Keepalive 没有 统一 标准 ， 各 厂商 的 设备 可 能 无 法 对 接 。 


6.11.2” DPD 机 制 


DPD (Dead Peer Detection) 机 人 制 不 会 周期 性 发 送 Hello 消息 ， 而 是 通过 IPSec 流量 


a 
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的 状态 来 决定 是 否 发 送 对 等 体 状态 检测 报 文 。 如 果 本 端 可 以 收 到 对 端 发 来 的 流量 ， 则 认 
为 对 方 处 于 活动 状态 , 不 会 发 送 DPD 报 文 ; 只 有 当 一 定时 间 间 隔 内 没有 收 到 对 端 发 来 的 
流量 时 ， 才 会 发 送 DPD 报 文 探测 对 端的 状态 。 如 果 发 送 几 次 DPD 报 文 后 一 直 没 有 收 到 
对 端的 回应 ， 则 认为 对 端 不 可 达 ， 此 时 将 删除 该 IKE SA 及 由 它 协商 的 IPSec SA。 
DPD 报 文中 含有 通知 载荷 (notify) 和 HASH 载荷 (hash)， 设 备 发 送 DPD 报 文 时 
要 求 指定 其 载荷 顺序 ， 且 IPSec 隧道 两 端的 载荷 顺序 必须 一 致 。 
华为 防火 墙 默认 的 载荷 顺序 是 notify 载荷 在 前 ，HASH 载荷 在 后 ， 且 该 顺序 无 法 修 
改 。 基 于 此 实现 方式 ， 当 华为 防火 墙 与 其 他 设备 对 接 时 ， 要 求 对 端 设 备 的 DPD 载荷 顺序 
与 华为 防火 墙 默认 的 DPD 载荷 顺序 一 致 。 隧 道 两 端 DPD 载荷 顺序 不 一 致 将 导致 DPD 功 
能 失效 。 
。 IKEv1 时 配置 DPD 机 制 
IKEv1 默认 不 支持 DPD。 需 要 在 隧道 两 端 同时 配置 ， 两 端 配 置 的 DPD 参数 彼此 
独立 ， 不 需要 匹配 。 
。 IKEv2 时 配置 DPD 机 制 
IKEv2 默认 支持 DPD。 只 要 在 隧道 一 端 配 置 DPD, 另 一 端 就 可 以 响应 DPD 报 文 。 
DPD 机 制 的 配置 过 程 如 表 6-22 所 示 ， 这 里 以 IKEv1 为 例 在 总 舵 FW_A 和 分 舵 FW_B 
上 同时 配置 了 DPD 机 制 ， 如 果 使 用 IKEv2 时 只 要 在 隧道 一 端 设 备 上 配置 就 可 以 了 。 


表 6-22 配置 DPD 





| aisenaltd -| ee 
配置 完成 后 ，FW_A 与 FW_B 之 间 建 立 IPSec 隧道 。 然 后 将 FW_B 重启 后 ， 在 FW_A 
上 查看 IKE SA 和 IPSec SA 的 情况 ， 发 现 FW_A 上 的 安全 联盟 已 经 被 删除 了 。 


<FW_A> display ike sa 
current ike sa number: 0 ; 


此 时 ， 总 舵 流量 也 可 以 正常 触发 建立 IPSec 隧道 了 。 


6.12 IPSec 双 链 路 备份 


IPSec 可 靠 性 可 以 分 为 设备 可 靠 性 和 链 路 可 靠 性 。 设 备 可 靠 性 主要 是 双 机 热 备 ， 由 
于 双 机 热 备 非常 复杂 ， 不 是 一 句 两 句 可 以 说 清 的 ， 我 们 将 在 后 面 专门 讲解 。 本 节 讲 解 的 
重点 是 链 路 可 靠 性 。 

由 于 天 地 会 的 发 展 壮 大 ， 总 舵 要 与 所 有 分 舵 进行 通信 ， 网 络 带 宽 备 感 压力 。 一 旦 网 
络 出 问题 , 就 完全 不 能 通信 了 。 为 避免 此 等 悲剧 ,， 陈 总 舵 主 决定 为 总 舵 再 购买 一 条 链 路 ， 
既 可 缓解 带宽 压力 ， 又 可 以 实现 双 链 路 备份 。 


6.12.1 IPSec 主 备 链 路 备份 
总 舵 采 用 双 链 路 与 分 舵 通 信 ， 采 用 IPSec 主 备 链 路 备份 方式 的 典型 组 网 如 图 6-36 所 示 。 
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GE1/0/0 
202.38.163.1 












Tunnell 
2.2.2.2/24 


PC_A 
10.1.1.2/24 


1 
1 
GE1/0/0 | 
2222 


GE1/0/1 
202.38.164.1 


图 6-36 IPSec 主 备 链 路 备份 组 网 图 


FW_B 上 配置 两 个 Tunnel 接口 (借用 GE1/0/0 的 IP 地 址 ) 分别 与 FW_A 的 主 链 路 
接口 GE1/0/0 和 备 链 路 接口 GE1/0/1 进行 IPSec 对 接 。 其 配置 的 关键 在 于 必须 配置 IP- 
Link， 并 采用 IP-Link 检测 主 链 路 的 状态 。 

。 不 配置 P-Link 时 ， 当 FW_A 的 主 链 路 故障 时 ，FW_B 无 法 感知 。 因 此 FW_B 上 
的 路 由 表 不 会 变化 ， 其 出 接口 仍然 是 与 主 链 路 对 接 的 Tunnell。 这 会 导致 IPSec 
隧道 建立 失败 ， 如 图 6-37 所 示 。 


GE1/0/0 Tunnell 
202.38.163.1 









PCA ! 2 ! ; PC_B 
10.1.1.2/24 ee bc sa 10.1.1.2/24 


GE1/0/1 \ 
202.38.164.1 2.2.2.2/24 
状态 变化 , 采 未 感知 变化 ， 
用 备 链 路 采用 Tunnel2 


图 6-37 未 配置 IP-Link 时 ， 主 链 路 故障 导致 IPSec VPN 建立 失败 


。 配置 了 P-Link 时 , FW_B 上 可 以 感知 FW_A 上 的 主 链 路 状态 的 变化 。 当 FW _A 的 
主 链 路 故障 时 , FW_B 上 的 路 由 表 也 会 同步 发 生 改变 。 此 时 流量 可 以 触发 备份 链 
路 建立 IPSec 隧道 ， 恢 复 通信 。 为 了 总 艇 和 分 舵 同 步 切 换 链 路 ， 两 侧 防火 墙 上 都 
要 配置 了 P-Link， 如 图 6-38 所 示 。 

GE1/0/0 


Tunnell 
202.38.163.1 ， 1 2.2.2.2/24 










PC _A GE1/0/0 
10.1.1.2/24 


2 


PCB 
10.1.1.2/24 


GE1/0/1 


sn 
202.38.164.1 2.2.2.2/24 
感知 变化 ， 采 用 Tunnel2 
状态 变化 ， 采 
用 备 链 路 


6-38 配置 P-Link 时 ， 主 链 路 故障 触发 备份 链 路 建立 IPSec VPN 
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总 舵 和 分 稻 FW 的 关键 配置 如 表 6-23 所 示 。 


表 6-23 


路 由 配置 


定义 被 保护 
的 数据 流 


配置 IPSec 
安全 提议 

配置 IKE 

安全 提议 


IKE 对 等 体 


应 用 IPSec 
安全 策略 // 
在 两 个 接口 
上 分 别 应 用 
IPSec 安全 
策略 





ip-link check enable 

ip-link 1 destination 2.2.2.2 interface GigabitEthemetl/ 
0/0 mode icmp next-hop 202.38.163.2 

ip route-static 10.2.1.0 24 202.38.163.2 preference 


10 track ip-link 1 WN 到 分 舵 的 路 由 , GE1/0/0 出 口 的 
链 路 为 主 链 路 


ip route-static 10.2.1.0 24 202.38.164.2 preference 
20 /到 分 舵 的 路 由 , GE1/0/1 出 口 的 链 路 为 备 链 路 
ip route-static 0.0.0.0 0.0.0.0 202.38.163.2 preference 
10 track ip-link 1 // 缺 省 路 由 , GE1/0/0 出 口 的 链 路 
为 主 链 路 
ip route-static 0.0.0.0 0.0.0.0 202.38.164.2 preference 
20// 缺 省 路 由 ，GE1/0/1 出 口 的 链 路 为 备 链 路 
/定义 两 个 ACL， 配 置 相同 的 规则 
acl 3000 

rule 5 permit ip source 10.1.1.0 0.0.0.255 destiantion 
10.2.1.0 0.0.0.255 
acl 3001 

mle 5 permit ip source 10.1.1.0 0.0.0.255 destiantion 


10.2.1.0 0.0.0.255 





ike peer fenduo 
pre-shared-key tiandihuil 
ike-proposal 10 


ipsec policy-template teml 1 
Security acl 3000 
proposal prol 
ike-peer fenduo 
ipsec policy policyl 1 isakmp template teml 
ipsec policy-template tem2 1 
security acl 3001 
proposal prol 
ike-peer fenduo 
ipsec policy policy2 1 isakmp template tem2 


interface GigabitEthernetl/0/0 
ip address 202.38.163.1 24 
ipsec policy policy1l 

interface GigabitEthermet1/0/1 
ip address 202.38.164.1 24 


ipsec policy policy2 
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ip-link check enable 


ip-link 1 destination 202.38.163.1 


interface 
GigabitEthernetl/0/0 mode icmp next-hop 2.2.2.1 


ip route-static 10.1.1.0 255.255.255.0 Tunnel 1 
preference 10 track ip-link 1 /Tunnell 与 主 链 路 对 接 
ip route-static 10.1.1.0 255.255.255.0 Tunnel 2 
preference 20 //Tunnel2 与 备 链 路 对 接 

ip route-static 0.0.0.0 0.0.0.0 2.2.2.1 /配置 缺 省 路 
由 ， 下 一 跳 为 2.2.2.1 


/定义 两 个 ACL， 配 置 相同 的 规则 
acl 3000 

mle 5 permit ip source 10.2.1.0 0.0.0.255 destiantion 
10.1.1.0 0.0.0.255 
acl 3001 

mle 5 permit ip source 10.2.1.0 0.0.0.255 destiantion 
10.1.1.0 0.0.0.255 


ipsec proposal prol 


ike proposal 10 


ike peer al 

pre-shared-key tiandihuil 

ike-proposal 10 

remote-address 202.38.163.1/ 原 有 链 路 的 出 接口 
IP 地 址 
ike peer a2 

pre-shared-key tiandihuil 
ike-proposal 10 
remote-address 202.38.164.1/ 原 有 链 路 的 出 接口 
IP 地 址 


ipsec policy policyl 1 isakmp 
security acl 3000 
proposal prol 
ike-peer al 

ipsec policy policyl 1 isakmp 
security acl 3001 
proposal prol 
ike-peer a2 


interface Tunnell 
ip address unnumbered interface GigabitEthernet1/ 
0/0 /借用 物理 口 GE1/0/0 的 他 地 址 
tunnel-protocol ipsec 
ipsec policy policyl 
interface Tunnel2 
ip address unnumbered interface GigabitEthernetl/ 
0/0 /借用 物理 口 GE1/0/0 的 卫 地 址 
tunnel-protocol ipsec 
ipsec policy policy2 
注意 : 该 场景 中 不 建议 在 分 能 上 应 用 IPSec 
策略 时 配置 auto-neg 参数 ， 以 免 影响 业务 。 
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配置 完成 后 ，FW_A 与 FW_B 之 间 建 立 IPSec 隧道 。 
(1) 从 分 能 PC_ B ping 总 能 PC _ A， 可 以 ping 通 ， 然 后 查看 IKE SA 的 状态 。 


<FW B> display ike sa 
current ike sa number: 2 


conn-id peer flag phase vpn 
40003 202.38.163.1 RDIST Vv2:2 public 
3 202.38.163.1 RDIST v2:] public 


(2) 查看 FW_B 上 的 路 由 表 (只 给 出 静态 路 由 )。 


<FW_B> display ip routing-table 
Route Flags: R - relay, D - download to fib 


Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 Static60 0 RD 222.1 GigabitEthernet1/0/0 
1 1 DBD 2.2.22 


(3) 断 开 FW_A 的 主 链 路 后 ， 从 分 舵 PC_B 再 ping 总 舵 PC A， 可 以 ping 通 。 查 
看 IKE SA 建立 情况 如 下 。 


<FW_B> display ike sa 


current ike sa number: 2 

conn-id peer flag phase vpn 
40009 202.38.164.1 RDIST v2:2 public 
9 202.38.164.1 RDIST Vv2:1 public 


说 明 IP-Link 检测 到 主 链 路 故障 后 ，FW_B 上 会 重新 协商 创建 一 条 新 的 IPSec 隧道 。 
(4) 再 查看 FW_B 上 的 路 由 表 〈 只 给 出 静态 路 由 )。 

<FW_B> display ip routing-table 

Route Flags: R - relay, D - download to fib 


Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 Static60 0 RD 222.1 ~ GigabitEthemet1/0/0 
10.1.1.0/24 Static20 0 了 D 2222 Tunnel2 


说 明 IP-Link 检测 到 主 链 路 故障 后 , FW_B 上 的 出 接口 为 Tunnell 的 路 由 失效 ， 出 接 
口 为 Tunnel2 的 路 由 被 激活 。 
6.12.2 ”IPSec 隧道 化 链 路 备份 
八 注意 
本 节 中 介绍 的 案例 在 现 网 中 部 署 可 能 会 出 现 主 备 链 路 无 法 正常 切换 的 问题 ， 但 由 于 问 
题 的 根 因 不 在 于 防火 墙 的 IPSec 功能 ， 而 在 于 运营 商 网 络 。 所 以 强 叔 保留 了 这 部 分 内 


容 , 意 在 帮助 大 家 理解 很 多 事情 都 是 理想 很 美好 ， 现实 很 残酷 。 所 以 网 络 部 署 需 谨慎 ， 
设备 调试 多 思量 。 


IPSec 主 备 链 路 备份 需要 分 别 在 两 个 物理 接口 上 应 用 IPSec 策略 ,配置 复杂 ,， 且 需要 
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通过 了 P-Link 跟踪 路 由 状态 ， 以 便 正 确 地 进行 IPSec 隧道 切换 。 那 能 否 不 直接 在 物理 接口 
上 应 用 IPSec 策略 呢 ， 这 样 是 否 就 可 以 避免 隧道 切换 的 问题 呢 ? 

当然 是 可 以 的 。 方 法 就 是 将 IPSec 策略 应 用 到 一 个 虚拟 的 Tunnel 接口 上 。 由 于 策略 
不 是 应 用 到 实际 物理 接口 ， 那 么 IPSec 并 不 关心 有 几 条 链 路 可 以 到 达 对 端 ， 也 不 关心 哪 
条 链 路 发 生 故障 ， 只 要 到 对 端 路 由 可 达 ，IPSec 通信 就 不 会 中 断 。 

这 种 提高 可 靠 性 的 方式 叫 作 IPSec 隧道 化 链 路 备份 。 总 舵 采 用 双 链 路 与 分 舵 通信 ， 
采用 IPSec 隧道 化 链 路 备份 方式 组 网 如 图 6-39 所 示 。 


Tunnell a 






PC_B 
10.2.1.2/24 


GE1/0/1 
202.38.164.1 
图 6-39 IPSec 隧道 化 链 路 备份 组 网 图 


下 面 我 们 来 介绍 IPSec 隧道 化 链 路 备份 时 报 文 是 如 何 封装 和 解 封装 的 ，FW_A 上 报 


转发 模块 
首次 查收 由 


文 加 封装 的 过 程 如 图 6-40 所 示 。 





图 6-40 IPSec 隧道 化 链 路 备份 时 IPSec 报 文 的 封装 过 程 


(1) FW_A 收 到 需要 原始 导报 文 (明文 ) 后 ， 将 收 到 的 人 P 明文 送 到 转发 模块 进行 处 理 。 

(2) 转发 模块 查找 路 由 ， 发 现 路 由 出 接口 为 Tunnel 接口 。 转 发 模块 依据 路 由 查询 结 
果 将 人 P 明文 发 送 到 Tunnel 接口 。 

(3) 由 于 Tunnel 接口 应 用 了 IPSec 策略 ， 报 文 在 Tunnel 接口 上 进行 IPSec 加 封装 。 
封装 后 的 IPSec 报 文 的 源 全 和 目的 他 分 别 为 两 端 Tunnel 接口 的 人 地址。 

(4) 封装 后 的 IPSec 报 文 被 送 到 转发 模块 进行 处 理 。 转 发 模块 再 次 对 IPSec 报 文 ( 密 
文 ) 查找 路 由 ， 发 现 路 由 下 一 跳 为 物理 接口 。 

(5) 转发 模块 根据 路 由 的 优先 级 等 选择 合适 的 路 由 ， 将 IPSec 报 文 从 设备 的 某 个 实 
际 物理 接口 转发 出 去 。 
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FW_A 上 报 文 解 封装 的 过 程 如 图 6-41 所 示 。 






入 接口 
GE1/0/0 | 


密 文 


GE1/0/1 
入 接口 


图 6-41 IPSec 隧道 化 链 路 备份 时 IPSec 报 文 的 解 封装 过 程 


(1) FW_A 收 到 IPSec 报 文 〈 密 文 ) 后 送 到 转发 模块 进行 处 理 。 

(2) 转发 模块 识别 到 此 IP 密 文 的 目的 地 址 为 本 设备 Tunnel 接口 的 卫 地 址 且 IP 协 
议 号 为 AH 或 ESP， 将 卫 密 文 发 送 到 Tunnel 接口 。 

(3) IPSec 报 文 在 Tunnel 接口 上 进行 解 封装 。 

(4) 解 封 装 后 的 原始 IP 报 文 (明文 ) 被 再 次 送 到 转发 模块 进行 处 理 。 转 发 模块 再 次 
对 明文 查找 路 由 。 

(5) 转发 模块 通过 查找 路 由 ， 将 卫 明文 从 实际 物理 接口 转发 出 去 。 

与 在 物理 接口 上 建立 IPSec 隧道 相 比 ， 基 于 Tunnel 接口 的 了 了 Sec 隧道 建立 过 程 有 两 
点 不 同 : 一 是 在 Tunnel 接口 上 完成 IPSec 封装 / 解 封装 的 ; 二 是 多 了 一 步 路 由 查找 的 过 程 。 
总 能 和 分 舵 FW 的 关键 配置 如 表 6-24 所 示 。 
表 6-24 隧道 化 链 路 备份 时 FW 的 配置 


i 

















ip route-static 10.2.1.0 24 tunnell /到 分 舵 网 络 的 路 由 


ip route-static 10.1.1.0 255.255.255.0 2.2.2.17/ 到 | 
ip route-static 2.2.2.2 32 202.38.163.2 preference 10 | 卫 7OU eS ne 2 /到 总 能 


网 络 的 路 由 
置 ”| /到 分 舵 FW_B 的 主 用 路 由 人 
路 由 配 记 route-static 2222 32 202.38.164.2 preference 20 ip route-static 1.1.1.2 255.255.255.0 2.2.2.1 /到 总 
/到 分 舵 FW B 的 备用 路 由 舵 FW_A 的 Tunnell 接口 的 路 由 
VY acl 3000 acl 3000 
定义 被 保护 rule 5 permit ip source 10.1.1.0 0.0.0.255 destiantion rule 5 permit ip source 10.2.1.0 0.0.0.255 destiantion 
的 数据 流 10.2.1.0 0.0.0.255 10.1.1.0 0.0.0.255 





配置 IPSec ipsec proposal prol ipsec proposal prol 
安全 提议 : 
KE 安 
配置 I ps 女 ike proposal 10 ike proposal 10 
全 提议 












ike peer feniio ike peer Zongduo 四 
IKE 对 等 体 | pre-shared-key tiandihuil ee 
korpropesal 10 remote-address 1.1.1.2 //Tunnel 接口 的 他 地 址 
ipsec policy-template teml 1 /配置 模板 方式 ipsec policy policyl 1 isakmp 
IPSec 安全 security acl 3000 security acl 3000 
策略 proposal prol proposal prol 


ike-peer fenduo 


ipsec policy policyl 1 isakmp template teml ke pete onB lip 
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interface GigabitEthernet1/0/0 


interface Tunnell 
应 用 IPSec | ipaddress 1.1.1.224 
tunnel-protocol ipsec 
ipsec policy policy1 


安全 策略 de 
配置 完成 后 ，FW_A 与 FW_B 之 间 建 立 IPSec 隧道 。 
(1) 从 分 舵 PC_B ping 总 舵 PC_A， 可 以 ping 通 ， 然 后 在 FW_B 上 查看 下 E SA 的 状态 。 


<FW_B> display ike sa 
current ike sa number: 2 






一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


conn-id peer flag phase vpn 
40003 1.1.1.2 RDIST v2:2 public 
3 TE RDIST V2:1 ,public 


(2) 主 链 路 正常 情况 下 ， 查 看 FW_A 上 的 路 由 表 〈( 只 给 出 静态 路 由 )。 


<FW _ A> display ip routing-table 
Route Flags: R - relay, D - download to fib 


Destination/Mask Proto Pre Cost Flags NextHop Interface 


2.2.2.2/0 Static 10 0 RD 202.38.163.] GigabitEthemet1/0/0 
2.2.2.2/0 Static 20 0 RD 202.38.164.2 GigabitEthermet1/0/1 
0.2.1 了 1.1.1.2 nell 


总 舵 FW_A 收 到 PC_A 响应 的 全 报 文 ( 源 地 址 为 10.1.1.2， 目 的 地 址 为 10.2.1.2)， 
首先 匹配 目的 地 址 为 10.2.1.0/24 出 接口 为 Tunnell 的 路 由 , 然后 他 报 文 在 Tunnell 接口 上 
进行 PSec 封装 〈 源 地 址 变 为 1.1.1.2， 目 的 地 址 变 为 2.2.2.2)。 封 装 后 的 PPSec 报 文 二 次 匹 
配 目的 地 址 为 2.2.2.2/0 出 接口 为 202.38.163.1 的 路 由 ， 然 后 从 相应 的 物理 接口 发 送出 去 。 

(3) 主 链 路 中 断后 ， 查 看 FW_A 上 的 路 由 表 (只 给 出 静态 路 由 )。 


<FW A> display ip routing-table 
Route Flags: R - relay, D - download to fib 


Destination/Mask Proto Pre Cost Flags NextHop Interface 

2.2.2.2/0 Static 20 0 RD 202.38.164.2 GigabitEthernet1/0/1 
10.2.1.0/24 Static 60 0 DD 11.1.2 Tunnell 

(4) 从 分 舵 PC_B ping 总 舵 PC_A， 然 后 查看 KE SA 的 状态 。 
<FW_B> display ike sa 


current ike sa number: 2 


conn-id peer flag phase vpn 
40003 1.1.1.2 RDIST v2:2 public 
3 2 RDIST Y2:1 public 


由 于 分 舵 是 与 总 舵 Tunnell 接口 的 卫 地 址 建立 IPSec 隧道 , 所 以 在 总 舵 FW_A 上 断 
开 GE1/0/0 接口 所 属 链 路 后 不 会 导致 原 有 IPSec 隧道 中 断 ， 故 在 FW_B 上 查看 IKE SA 
时 可 以 看 到 对 端的 IP 地址 还 是 Tunnel 口 的 卫 地址 1.1.1.2。 
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从 上 述 过 程 来 看 ，IPSec 隧道 化 链 路 备份 的 表现 明显 优 于 IPSec 主 备 链 路 备份 。 但 是 
这 个 案例 在 现 网 应 用 中 出 了 点 意外 。 如 图 6-42 所 示 , FW_A 两 个 出 接口 分 别 连接 联通 和 
电信 两 个 ISP，Tunnell 和 GE1/0/0 使 用 联通 地 址 ，GE1/0/1 使 用 电信 地 址 。 


本 

1.1.1.2/24 ! pp yy 
i GE1/0/0 2 

| 202.38.163.1 










图 6-42 ”IPSec 隧道 化 链 路 备份 实际 应 用 


正常 情况 下 总 舵 FW_A 的 Tunnell 与 分 舵 FW_B 的 GE1/0/0 之 间 建 立 IPSec 隧道 ， 
报 文 从 FW_A 的 GE1/0/0 发 送 没 有 问题 。 但 FW_A 主 链 路 故障 后 , IPSec 报 文 从 GE1/0/1 
发 送 。 由 于 电信 网 络 接 入 设备 会 对 收 到 的 报 文 源 地 址 进行 检查 ， 发 现 IPSec 报 文 的 源 地 
址 (Tunnell 接口 地 址 是 联通 地 址 ， 进 而 会 将 报 文 丢 弃 ， 导 致 主 备 链 路 切换 无 法 实现 。 

不 仅 在 防火 墙 连接 不 同 运营 商 网 络 时 会 出 现 这 种 问题 ， 连 接 同 一 个 运营 商 时 也 可 能 出 
现 类 似 情况 ， 例 如 主 备 两 条 链 路 跨 局 、 跨 区 域 连接 到 一 个 运营 商 的 不 同 接 入 路 由 器 上 ， 如 
果 运 营 商 局 端 设备 没有 配合 进行 配置 的 话 ， 也 可 能 出 现 一 样 的 问题 。 所 以 大 家 在 应 用 这 种 
方案 时 一 定 要 先 测 试 一 下 , 看 看 实际 网 络 环境 是 否 人 允许 主 备 链 路 倒 换 , 以 免 后 续 出 现 问题 。 

总 结 一 下 IPSec 隧道 化 链 路 备份 与 IPSec 主 备 链 路 备份 的 区 别 ， 如 表 6-25 所 示 。 


















IPSec 隧道 化 链 路 备份 与 主 备 链 路 备份 比较 
| ”IPSec 主 备 链 路 备份 。 ”| IPSec 隧道 化 链 路 各 
简单 
不 需要 隧道 切换 
双 链 路 或 多 链 路 
络 能 够 正常 转发 IPSec 报 文 


6.13 ”安全 策略 配置 思路 


IPSec VPN 场景 下 的 安全 策略 配置 有 许多 特别 之 处 ， 不 仅仅 要 允许 穿 过 防火 墙 的 流 
量 通 过 ， 还 要 允许 IPSec 协议 报 文通 过 。 本 节 由 在 向 大 家 传授 针对 IPSec VPN 的 精细 化 
安全 策略 的 配置 方法 。 


6.13.1 ”IKE/IPSec VPN 场景 


如 图 6-43 所 示 ， 总 舵 FW_A 和 分 航 FW_B 之 间 建 立 IPSec 隧道 PC A 和 PC B 通 
过 IPSec 隧道 互 访 。 假设 在 FW_A 和 FW_B 上 , GE0/0/1 接口 连接 私 网 , 属于 Trust 区 域 ; 
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GE0/0/2 接口 连接 Internet， 属 于 Untrust 区 域 。 








图 6-43 IKE/IPSec 组 网 图 


安全 策略 的 配置 过 程 如 下 。 
(1) 先 配 置 一 个 最 宽泛 的 域 间 安全 策略 ， 以 便 调 测 IPSec。 
在 FW_A 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 permit。 
[FW_A] firewall packet-filter default permit all 
在 FW_B 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 permit。 
[FW_B] firewall packet-filter default permit all 
(2) 在 防火 墙 上 配置 好 IPSec, 然后 PC_A 向 PC_B 发 起 访问 , 通过 分 析 防 火 墙 上 的 
会 话 表 得 到 安全 策略 匹配 条 件 。 
e。 总 舵 FW_A 上 的 会 话 表 


[FW_A] display firewall session table verbose 
Current Total Sessions : 3 
dp 一 VPN:publie 一 Public 
_TTL: 00:02:00 Left: 00:00:55 
jerhcos Gigabiethemer0/o2 NextHop: 1.1.1.2 MAC: 00-e0-fe-e4-65-58 
<--packets:4 bytes:692  -->packets:6 bytes:944 
41.1.1:500-->2.2.3.2:500 /对 应 ISAKMP 协商 报 文 ， 端 口 500 





人 

. TTL: 00:00:20 Left: 00:00:16 
Interface: GigabitEthernet0/0/2 ”NextHop: 1.1.1.2 MAC: 00-e0-fe-e4-65-58 
<—packets:0 bytes:0 ->packets:l bytes:60 
192.168.0.2:14235->172.16.2.2:2048 ”对 应 原始 的 下 报 文 








mvpNpoblie > poblie | 
9 TTL: 00:10:00 Left: 00:09:59 
、 tortice: inl.oopBackd eng 127001 MAC: 00-00-00-00-00-00 

<-packets:0 bytes:0 & -->packets:2 bytes:22 

23.2:0 >1.1.1.1:0 ed 如 果 同 时 配置 了 AH 和 ESP 封装 会 出 现 两 条 会 话 。 

这 里 有 个 奇怪 的 现象 ， 总 舵 FW_A 发 出 的 ESP 报 文 对 应 会 话 方向 为 untrust->local 
(2.2.3.2:0->1.1.1.0) ， 表 示 FW_A 在 接收 ESP 报 文 方向 上 的 会 话 ， 与 大 家 的 一 般 认 知 不 
符 , 这 是 为 什么 呢 ? 原来 FEW_A 加 密 后 发 出 的 ESP 报 文 是 不 建立 会 话 的 , 不 走 防 火 墙 转 
发 流程 ， 当 然 也 不 做 安全 策略 检查 。 但 是 防火 墙 收 到 ESP 报 文 进行 解密 时 ， 需 要 先 建 会 
话 走 转发 流程 ， 做 安全 策略 检查 ， 所 以 大 家 看 到 的 这 条 会 话 对 应 接收 到 的 ESP 报 文 。 
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ISAKMP 协商 报 文 的 收发 都 需要 走 转 发 流程 ， 所 以 不 存在 这 个 问题 。 
通过 分 析 会 话 表 得 到 FW_A 上 的 报 文 走 向 ， 如 图 6-44 所 示 。 





PC_A 
192.168.0.2/24 


FW_A 


一 一 -一 > PC_A 访问 PC_B 的 原始 报 文 
er > ISAKMP 报 文 和 IPSec 报 文 


图 6-44 ”总 舵 FW_A 上 的 报 文 走向 


由 上 图 可 知 ，FW_A 上 需要 配置 Trust 区 域 ->Untrust 区 域 的 安全 策略 ， 人 允许 PC_A 
访问 PC_B 的 报 文通 过 ， 还 需要 配置 Local 区 域 ->Untrust 区 域 的 安全 策略 ， 允 许 ISAKMP 
协商 报 文通 过 ， 以 及 配置 Untrust 区 域 ->Local 区 域 的 安全 策略 ， 人 允许 ESP 报 文通 过 。 

。 分 舵 FW_B 上 的 会 话 表 


[FW_B] display firewall session table verbose 
Current Total Sessions : 3 
udp VPN:public --> public 
Zone: untrust—> local IIL: 00:02:00 Left: 00:00:36 
Interface: InLoopBack0 NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00 
<--packets:l bytes:200  -->packets:2 bytes:280 


esp VPN:public -> public 

Zone: untrust_> local TTL: 00:10:00 Left: 00:09:59 

Interface: InLoopBack0 NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00 
<--packets:0 bytes:0 & -->packets:4 bytes:448 

工 1.1.1: :0 


. icmp_VPN:public --> public 
Zone: untrust—> trust TTL: 00:00:20 Left:00:00:16 
Interface: GigabitEthernet0/0/1 NextHop: 172.16.2.2 MAC: 54-89-98-39-60-e2 
<--packets:1 bytes:60  -->packets:1 bytes 60 
192.168.0.2:61095-—>172.1 :2048 


通过 分 析 会 话 表 得 到 FW_B 上 的 报 文 走向 ， 如 图 6-45 如 所 示 。 


IPSec 隧道 





PC_B 
172.16.2.2/24 


FW_B 


一 一 -一 > PC_A 访问 PC_B 的 原始 报 文 
i > ISAKMP 报 文 和 IPSec 报 文 


图 6-45 分 舵 FW_B 上 的 报 文 走向 
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由 上 图 可 知 ，FW_B 上 需要 配置 Untrust 区 域 ->Trust 区 域 的 安全 策略 ， 人 允许 PC_A 
访问 PC_B 的 报 文通 过 , 还 需要 配置 Untrust 区 域 ->Local 区 域 的 安全 策略 , 允许 ISAKMP 
协商 报 文 通过 ， 以 及 配置 Untrust 区 域 ->Local 区 域 的 安全 策略 ， 人 允许 ESP 报 文通 过 。 

当 PC _B 向 PC _A 发 起 访问 时 ， 报 文 走向 与 PC_ A 访问 PC _B 时 的 走向 相反 ， 不 再 歼 述 。 

综 上 所 述 ， 在 IKE/IPSec 场景 中 ，FW_A 和 FW_B 上 应 该 配置 的 安全 策略 匹配 条 
件 如 表 6-26 所 示 。 


表 6-26 总 和 能 和 分 舵 FW 安全 策略 匹配 条 件 






Untrust Local .2.3: :ls 
总 能 | | 本 为 BSP) 


FW A 2.2.3.2/32 UDP+500 
PC_A 访 和 
问 PC_B AH 或 /和 ESP 
分 舵 Untrust Local 1.1.1.1/32 2.2.3.2/32 (本 例 为 ESP) 
FW_B UDP+500 


192.168.0.0/24 | 172.16.2.0/24 * 


AH 或 /和 ESP 
总 舵 Untrust Local 2.2.3.2/32 1.1.1.1/32 (本 例 为 ESP) 
FW A UDP+500 
PC B 访 Untrust Trust 172.16.2.0/24 | 192.168.0.0/24 * 
问 PC _A AH 或 /和 ESP 
分 能 1.1.1.1/32 2 (本 例 为 ESP) 


FW_B 1.1.1.1/32 2.2.3.2/32 UDP+500 
172.16.2.0/24 | 192.168.0.0/24 * 


*; 此 处 的 应 用 与 具体 的 业务 类 型 有 关 ， 可 以 根据 实际 情况 配置 ， 如 tcp、udp、icmp 等 


DO 说 明 
手工 方式 建立 的 IPSec VPN 与 IKE 方式 建立 的 IPSec VPN 的 区 别 是 没有 ISAKMP 会 
话 ， 不 用 配置 针对 UDP+500 的 安全 策略 。 











(3) 最 后 ， 将 缺 省 包 过 滤 的 动作 改 为 deny。 

在 FW_A 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 deny。 
[FW_A] firewall packet-filter default deny all — 0 
在 FW_B 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 deny。 
[FW_B] firewall packet-filter default denyal 


6.13.2 ”1IKE/IPSec VPN+NAT 穿越 场景 


IKE/IPSec VPN+NAT 穿越 场景 下 的 安全 策略 配置 又 有 点 特殊 之 处 ， 下 面 以 “6.8.1 
NAT 穿越 场景 简介 ”中 的 场景 二 为 例 进行 介绍 。 
如 图 6-46 所 示 ， 总 舵 FW_A 和 分 舵 FW_B 之 间 建 立 IPSec 隧道 ， 中 间 存 在 NAT 设 
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备 ，NAT 转换 后 地 址 为 2.2.2.10〈 地 址 池 里 就 设置 一 个 地 址 )。 假 设 在 FW_A 和 FW _B 上 ， 
GE0/0/1 接口 连接 私 网 ， 属 于 Trust 区 域 ，GE0/0/2 接口 连接 上 行 设备 ， 属 于 Untrust 区 域 。 








图 6-46 ”IKEv1/IPSec VPN+NAT 穿越 组 网 图 


安全 策略 的 配置 过 程 如 下 。 

(1) 先 配置 一 个 最 宽泛 的 域 间 安全 策略 ， 以 便 调 测 IPSec。 

在 FW_A 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 permit。 

[FW_A] firewall packet-filter default permit all 

在 FW_B 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 permit。 

/ B] firewall packet-filter default permit all 

(2) 在 防火 墙 上 配置 好 IPSec， 然 后 PC B 向 PC _A 发 起 访问 , 通过 分 析 防 火 墙 上 的 
会 话 表 得 到 安全 策略 匹配 条 件 。 

。 总 舵 FW_A 上 的 会 话 表 


<FW_A> display firewall session table verbose 
Current Total Sessions : 3 
pp 
， untrust--> local TTL 00.02:00 ELeft: 00:01:52 
Un NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00 
<--packets:1 bytes:296  -->packets:1 bytes:296 





ap VPN:public > public 

Zone: TTL: 00:02:00 ”Left 00:01:58 

Interface: InLoopBackO ”NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00 
<--packets:1 bytes:228 。 -->packets:5 bytes:740 





Hemp_VPN:public -> public 
， TTL: 00:00:20 Left: 00:00:14 
Interface: GigabitEthernet0/0/2 ”NextHop: 192.168.0.2 MAC: 54-89-98- Tf-le-b2 
<--packets:1 bytes:60  -->packets:1 bytes:60 
总 舵 FW_A 上 一 共有 3 条 会 话 ， 两 条 udp 会 话 ， 一 条 icmp 会 话 。 两 条 udp 会 话 中 ， 
一 条 端口 为 500， 另 一 条 为 4500， 意 味 着 IKE 探测 到 NAT 网 关 后 ，ISAKMP 报 文 外 层 
增加 了 UDP 封装 ， 协 商 端口 也 由 500 切换 为 4500。 后 续 传输 的 ESP 报 文 也 都 增加 了 
UDP 头 ， 所 以 在 FW_A 上 看 不 到 对 应 ESP 报 文 的 会 话 。 
分 析 会 话 表 得 到 总 舵 FW_A 上 的 报 文 走向 ， 如 图 6-47 所 示 。 
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PC_A 
192.168.0.2/24 


FW_A 


一 -一 > PC_B 访问 PC_A 的 报 文 
A > ISAKMP 报 文 和 IPSec 报 文 


图 6-47 总 舵 FW_A 上 的 报 文 走向 


由 上 图 可 知 ,， 总 舵 FW_A 上 需要 配置 Untrust 区 域 ->Trust 区 域 的 安全 策略 ， 人 允许 PC_B 
访问 PC_A 的 报 文通 过 ， 还 需要 配置 Untrust 区 域 ->Local 区 域 的 安全 策略 ， 人 允许 总 舵 
FW_A 与 分 舵 FW_B 建立 IPSec 隧道 。 

。 分 ~ 舵 防 火 墙 FW_B 上 的 会 话 表 


<FW_B> display firewall session table verbose 
Current Total Sessions : 3 
‘udp _VPN:public --> public 
Zone: local--> untrust TTL: 00:02:00 Left 00:01:45 
Interface: GigabitEthemet0/0/2 NextHop:172.16.0.2 MAC: 00-00-00-d3-84-01 
<--packets:l bytes:296 -->packets:l bytes:296 


udp VPN:public -> public 
_Zone: local--> untrust_. TTL: 00:02:00 Left: 00:01:50 
Interface: GigabitEthernet0/0/2 ”NextHop:172.16.0.2 MAC: 00-00-00-d3-84-01 
<--packets:5 bytes:708 -->packets:l bytes:260 
1: 1.1.1:4: 


iemp VPN:public -->public | 

Zone: trust—> untrust TTL: 00:00:20 Left: 00:00:07 

Interface: GigabitEthemet0/0/2 NextHop: 10.1.5.1 MAC: 00-00-00-d3-84-01 
<--packets:1 bytes:60  -->packets:l bytes:60 


分 析 会 话 表 得 到 分 艇 FEFW_B 上 的 报 文 走向 ， 如 图 6-48 所 示 。 


IPSec 隧道 





PC_B 
172.16.2.2/24 


FW_B 


一 一 -一 > PC_B 访问 PC_A 的 报 文 
ete > ISAKMP 报 文 和 IPSec 报 文 


图 6-48 ”分 舵 FW_B 上 的 报 文 走向 
由 上 图 可 知 ,分 舵 FW_B 上 需要 配置 Trust 区 域 ->Untrust 区 域 的 安全 策略 ,允许 PC_B 
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访问 PC_A 的 报 文通 过 ， 还 需要 配置 Local 区 域 ->Untrust 区 域 的 安全 策略 ， 允 许 总 舵 
FW_A 与 分 舵 FW_B 建立 IPSec 隧道 。 

车 NAT 设备 上 仅仅 配置 了 源 NAT， 那 么 这 个 场景 仅 允 许 分 能 FW_B 主动 与 总 舵 
FW_A 建立 IPSec 隧道 。 这 种 情况 下 ， 总 舵 FW_A 和 分 艇 FFW_B 上 应 该 配置 的 安全 策略 
匹配 条 件 如 表 6-27 所 示 。 


表 6-27 总 通 和 分 舵 FW 安全 策略 匹配 条 件 






UDP+500 和 
4500 









总 舱 Untrust | Local | 172.16.0.1/32 1.1.1.1/32 
FW_A 
172.16.1.0/24 | 192.168.0.0/24 
分 能 Local | Untrust | 172.16.0.1/32 1.1.1.1/32 


172.16.1.0/24 | 192.168.0.0/24 


*; 此 处 的 应 用 与 具体 的 业务 类 型 有 关 ， 可 以 根据 实际 情况 配置 ， 如 tcp、udp、icmp 等 


PC _B 访 问 
PCA 








UDP+500 和 
4500 





如 果 总 舵 没 有 配置 模板 方式 的 PSec 策略 ， 且 NAT 设备 上 配置 了 NAT Server， 这 种 
情况 下 则 允许 总 舵 FW_A 主动 与 分 舵 FW_B 建立 IPSec 隧道 , 那么 大 家 可 以 按照 上 述 方 
法 把 PC_A 访问 PC_B 的 安全 策略 匹配 条 件 也 总 结 出 来 。 

(3) 最 后 ， 将 缺 省 包 过 滤 的 动作 改 为 deny。 

在 FW_A 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 deny。 

A] firewall packet-filter defauit denyan 
在 FW_B 上 将 域 间 缺 省 包 过 滤 的 动作 设置 为 deny。 


_B] firewall packet-filter default deny all 


6.14 IPSec 故障 排除 


IPSec 真是 个 很 难 哨 的 骨头 ， 强 叔 一 路 嘴 明 过 来 一 共 说 了 多 少 个 容易 出 错 的 地 方 ， 
大 家 是 否 还 记得 ? 仔细 算 来 IPSec 的 配置 注意 事项 当然 不 止 这 些 。 这 里 强 叔 给 大 家 上 一 
张 图 ， 如 图 6-49 所 示 ， 讲 讲 IPSec 故障 排除 三 板 佐 。 图 中 的 A、B、C 三 类 故障 将 在 下 
文中 细 化 ， 处 理 方 法 也 会 逐一 展开 。 

图 6-49 以 及 下 面 几 节 中 介绍 的 故障 排除 思路 和 步骤 , 可 以 解决 华为 防火 墙 产品 之 间 
建立 IPSec VPN 时 绝 大 部 分 的 故障 。 

但 对 于 华为 防火 墙 与 其 他 厂商 防火 墙 产品 对 接 建立 PSec VPN 的 场景 ， 这 三 板 径 的 
作用 就 弱 得 多 了 。 因 为 不 同 厂家 的 IPSec 实现 是 有 差异 的 ， 比 如 缺 省 配置 不 一 臻 《可 见 
的 配置 )、 系 统 缺 省 参数 不 一 臻 (不 可 见 的 参数 )、IKE 协商 机 制 不 一 致 、SA 超时 机 制 不 
一 致 等 ， 这 些 都 可 能 导致 IKE 协商 失败 或 IKE 协商 成 功 后 IPSec 隧道 不 稳定 ， 解 决 这 类 
问题 一 般 需 要 用 到 IPSec 功能 中 众多 的 不 常用 配置 命令 。 本 文 重 点 不 在 于 此 ， 不 再 就 此 
进行 深入 探讨 。 建 议 大 家 闲暇 之 余 到 华为 企业 网 站 的 案例 库 中 找 找 这 类 案例 ， 多 学 习 一 
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点 。 经 验 就 是 靠 学 习 前 人 的 失败 教训 慢 慢 积 累 而 来 的 ， 强 叔 也 不 例外 。 





6-49 IPSec VPN 故障 处 理 思维 导 图 


6.14.1 ”没有 数据 流 触发 IKE 协商 故障 分 析 


没有 数据 流 触发 IKE 协商 就 相当 于 “自来水 ”还 没有 流 到 家 中 ， 即 使 装 了 再 高 级 的 
净 水 设备 也 没 用 。 此 时 在 发 起 端 设 备 上 查看 指定 对 端的 IKE SA 时 ， 看 不 到 任何 信息 。 
造成 这 种 情况 的 原因 不 外 两 种 可 能 : 一 是 待 加 密 保护 的 数据 报 文 没有 送 达 防 火 墙 ， 二 是 
数据 报 文 送 达 了 防火 墙 但 还 没有 进入 IPSec 处 理 模 块 。 按 照 由 远 及 近 、 自 底 向 上 的 原则 ， 
我 们 可 以 先 排除 网 络 问题 ， 再 排除 防火 墙 本 身 的 问题 ， 具 体 可 参照 图 6-50 所 示 思 路 一 步 
步 排查 。 

具体 排查 命令 可 参考 表 6-28。 

在 防火 墙 上 执行 ping 命令 时 ， 报 文 是 从 Local 区 域 发 往 Untrust 区 域 的 。 某 些 防火 
墙 在 缺 省 情况 下 ，Local 区 域 到 Untrust 域 的 安全 策略 是 打开 的 。 如 果 防 火 墙 上 缺 省 未 开 
启 Local 区 域 到 Untrust 区 域 的 安全 策略 ， 请 开启 后 再 进行 ping 操作 。 
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图 6-50 没有 数据 流 触发 IKE 协商 故障 分 析 


表 6-28 没有 数据 流 触发 协商 故障 排除 步骤 


| 确定 数据 报 文 是 | display interface | 排除 接口 及 链 路 问题 
1 否 能 够 送 达 防火 | display ip routing-table 3 
Ce HN 


display ip routing-table | 检查 是 否 有 到 对 端 私 网 的 路 由 。 只 有 这 条 路 由 
ping -a 50Wce 和 padesy | 能 将 报 文 引导 到 应 用 了 IPSec 策略 的 接口 


host* 
检查 是 否 存 在 安全 策略 导致 的 丢 包 ,数据 报 文 


display firewall statistic a 人 
system discard i 了 安全 策略 这 关 后 才能 送 达 IPSec 


display ipsec policy 检查 ACL 的 配置 是 否 正 确 ， 以 及 数据 报 文 是 
display acl all 否 匹 配 ACL 


检查 数据 报 文 是 否 由 于 匹配 了 NAT Server 建 
立 的 Server-map 表 , 导致 无 法 进入 IPSec 处 理 
模块 

详细 原理 可 参见 “6.8.4 IPSec 与 NAT 并 存 于 
一 个 防火 墙 ” 中 的 介绍 


确认 IKE SA 是 否 启动 协商 ， 统 计 信息 中 IKE 
packet outbound 是 否 为 0。 如 果 IKE SA 有 状 
态 显示 ， 本 端 有 IKE 报 文 发 出 ， 说 明 该 故障 
已 经 排除 

*， 我 们 在 排查 本 端 防火 墙 到 对 端 防火 墙 的 路 由 是 否 可 达 时 ， 常 常 使 用 带 源 地 址 的 ping 命令 触发 IKE 协商 。ping 
命令 中 的 source-ip-address 和 host 应 与 本 端 上 的 security acl 的 rule 规则 匹配 ， 否 则 ping 报 文 无 法 进入 IPSec 模 
块 触 发 IKE 协商 















确定 数据 报 文 是 
否 能 够 进入 IPSec 
模块 


display firewall server- 
map 





display ike sa remote ip- 
address 


display ipsec statistics 


3 “| 确认 故障 是 否 排 除 


6.14.2 ”IKE 协商 不 成 功 故 障 分 析 


有 数据 流 触发 IKE 协商 ， 不 代表 协商 就 能 顺利 完成 ，IKE 协商 不 成 功 指 的 就 是 这 种 
情况 。“ 不 成 功 ” 是 通过 观察 IKE SA 的 状态 发 现 的 ，IKE 协商 的 两 个 阶段 都 可 能 出 现 
异常 。 
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阶段 1 IKE 协商 不 成 功 现象 
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对 于 IKEv1 方式 建立 的 IPSec， 发 起 端的 IKE SA 协商 失败 状态 如 下 。 
FFEW] display ike sa 
current ike sa number: 1 


flag phase vpn 
40037 <unnamed> NONE vil:l public 
flag meaning 
RD--READY 


ST--STAYALIVE RL--REPLACED FD--FADING 
TO--TIMEOUT TD--DELETING NEG--NEGOTIATING D--DPD 


IKE SA 显示 中 ，flag 一 列 显示 阶段 1 为 NONE 状态 , 但 过 几 十 秒 后 ，SA 数量 显示 
为 0， 表示 IKEv1 的 阶段 1 (IKE SA) 协商 失败 。 


。 对 于 IKEv2 方式 建立 的 IPSec， 发 起 端的 IKE SA 协商 失败 状态 如 下 


phase vpn 
40017 100.1.1.2 NEG VY2:2 public 
10 100.1.1.2 NEG v2:1 public 
flag meaning 
RD—READY 


ST-STAYALIVE RL--REPLACED FD--FADING 
TO--TIMEOUT TD--DELETING NEG--NEGOTIATING D--DPD 


IKE SA 的 阶段 1 和 阶段 2 的 flag 一 列 显示 均 为 NEG， 但 过 几 十 秒 后 ，SA 数量 显 
示 为 0。 表示 IKEvV2 的 阶段 1 (IKE SA) 和 阶段 2 (IPSec SA) 协商 失败 。 
阶段 2 IPSec SA 协商 不 成 功 现象 


对 于 IKEv1 方式 建立 的 IPSec， 隧道 两 端 都 显示 阶段 1 为 RTIST， 阶 段 2 为 NONE 


flag phase vpn 
40008 <unnamed> NONE vl:2 public 
40007 192.13.2.1 RDIST vl:l public 
flag meaning 
RD--READY 


ST--STAYALIVE RL--REPLACED FD--FADING 

TO--TIMEOUT TD--DELETING NEG--NEGOTIATING D--DPD 

对 于 IKEv2 方式 建立 的 IPSec VPN， 有 些 型 号 的 设备 不 会 区 分 阶段 1 和 阶段 2 分 别 

显示 状态 ， 也 就 是 不 管 哪个 阶段 协商 失败 防火 墙 都 会 直接 显示 为 IKE SA 没有 建立 。 这 种 

情况 看 上 去 跟 没有 数据 流 触发 IKE 协商 的 情况 有 点 类 似 ， 但 仔细 分 析 还 是 能 看 出 差异 的 。 
此 时 查看 PSec 对 等 体 两 端的 统计 信息 ， 如 果 没 有 数据 流 触发 IKE 协商 ， 那 发 起 端 

的 IKE packet outbound 为 0; 如 果 已 经 启动 IKE 协商 了 ， 那 么 发 起 端的 IKE packet 

outbound 不 为 0， 且 两 端的 IKE packet inbound 和 IKE packet outbound 统计 值 严重 不 匹配 


246 华为 防火 墙 技术 漫谈 


此 等 蛛丝马迹 只 有 仔细 观察 的 人 才 会 看 到 ! 
对 等 体 两 端的 “恋爱 ” 谈 不 下 去 了 ， 肯 定 双 方 都 有 原因 ， 但 也 可 能 有 第 三 方 的 因素 ， 
故障 原因 可 以 概括 为 三 句 话 : 本 端 配置 原因 、 中 间 网 络 原因 、 对 端 配置 原因 ， 具 体 排查 


思路 可 参考 图 6-51。 





上 
| | 
上 
1 
上 
WE | | 
上 1 
1 
本 1 
HH 上 
1 
4 1 
1 1 
H 下 
1 
MH 1 





图 6-51 IKE 协商 不 成 功 故障 分 析 

表 6-29 中 主要 给 出 了 B.1 和 B.2 两 个 故障 分 支 的 排查 步骤 另外 两 个 故障 分 支 原 因 
比较 简单 ， 大 家 完全 可 以 自行 搞定 。 

kd 


display interface 


确认 IPSec 对 等 体 两 
端 公 网 路 由 是 否 可 达 | display ip routing- 
table ping 


确认 运营 商 网 络 是 否 Pe Te 
有 限制 gging ip p 











排除 接口 及 链 路 问题 
执行 undo ipsee policy， 然 后 在 没有 IPSec 
VPN 的 情况 下 排除 公 网 路 由 问题 

在 没有 IPSec VPN 的 情况 下 ,通过 debugging 
消息 观察 中 间 网 络 是 否 对 AH、ESP 协议 或 
UDP 协议 的 500、4 500 端口 进行 了 限制 
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( 续 表 ) 
命令 0 


a ”| 检查 南端 remeteaddren/remote dum 
确认 IKE 配置 是 否 有 | display ike peer remote-id 配置 是 否 匹 配 
问题 检查 两 端 IKE peer 其 他 参数 配置 是 否 一 致 


a 








检查 两 端 IKE proposal 配置 是 否 一 致 


display ipsec policy 
的 天 ACL 丁克 


确认 IPSec 配置 是 否 排除 两 端 IPSec proposal 配置 不 一 致 问题 


有 问题 


display ike sa remote 不 机 用 的 状 志 才 a 
ip-address IKE SA 两 个 隐 态 都 正常 ， 会 话 也 正 
确认 故障 排除 sy firewall session | 常 建立 ， 说 明 IKE 协商 成 功 
table 


前 面 讲 过 在 不 同 场景 下 remote-address/remote-domain/ remote-id 这 条 命令 的 配置 








方法 非常 灵活 ， 请 对 照相 应 的 场景 仔细 检查 配置 是 否 有 错误 。 


实在 检查 不 出 来 配置 错误 也 没关系 ，IPSec 模块 对 IKE 的 协商 过 程 始 终 在 进行 严密 


监控 ， 并 实时 把 监控 结果 通过 debug 消息 传递 给 大 家 ， 只 要 大 家 掌握 了 破解 debugging 
消息 的 能 力 ， 就 可 以 横行 江湖 了 ! 强 叔 给 出 几 个 常见 的 样 例 供 大 家 参考 。 


阶段 1 IKE SA 协商 

。 隧道 两 端 IKE 安全 提议 、 身 份 ID、 预 共享 密 钥 不 匹配 都 将 导致 IKE SA 无 法 建 
常见 的 debugging 信息 如 下 。 

# 两 端的 IKE 安全 提议 不 一 致 。 


*0.10113310 sysname %%01IKE/4/WARNING(D: phasel: proposal mismatch, please check ike proposal configuration. 
*0.10113320 sysname IKE/7/DEBUG:got NOTIFY of type NO_PROPOSAL CHOSEN 


# 两 端的 DH-Group 算法 不 一 致 。 

*0.10114620 sysname %%01IKE/4/IKEDHGROUP(I): Phasel: dh-group mismatch. 

# 两 端的 预 共 享 密 钥 、 证 书 或 RSA 公 钥 配置 不 一 致 。 

*0.10190450 sysname %%O1IKE/4/WARNING(I): phasel: probably authentication failed, please check pre-shared-key, 


certificate or rsa peer-public-key configuration. 


*0.10190460 sysname IKE/7/DEBUG:got NOTIFY of type PAYLOAD MALFORMED 
# 本 端 remote-id 与 对 端的 IKE 本 地 名 称 不 一 致 。 


*0.18689560 sysname %%OlIKE/4/WARNING(]): phasel: cannot find matching ike peer configuration for peer 


sysname2,please check "remote-name" in ike peer configuration or check "ike local-name" configuration on remote machine. 


*0.18689570 sysname IKE/7/DEBUG:recv ID: find ike peer by ID[sysname2] failed ! 

。 协商 能 够 顺利 进行 的 前 提 是 响应 端 能 够 收 到 IKE 协商 发 起 端的 ISAKMP 消息 ， 
能 否 收 到 消息 与 发 起 端 remote-address 命令 的 配置 相关 ， 与 发 起 端 到 响应 端的 
路 由 是 否 可 达 有 关 , 配置 错误 或 网 络 不 通 、 运 营 商 对 报 文 进行 了 限制 都 会 导致 响 
应 端 收 不 到 ISAKMP 消息 。 

# 本 端 remote-address 与 对 端 地 址 不 一 致 时 ， 常 见 的 debugging 信息 如 下 。 
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*0.10432910 sysname %%01IKE/4/WARNING(D: phasel: cannot find matching ike peer configuration for peer 200.1. 1b 
please check "remote-address" and "exchange-mode" in ike peer configuration. 

*0.10432920 sysname IKE/7/DEBUG:exchange setup pl: 二 让 ] 

阶段 2 IPSec SA 协商 

隧道 两 端 IPSec 安全 提议 、PFS、ACL 规则 不 匹配 都 将 导致 IPSec SA 无 法 建立 。 阶 
段 2 报 文 是 加 密 的 ， 无 法 通过 抓 包 检查 IPSec 安全 提议 配置 。 

# 两 端的 IPSec proposal 配置 不 一 致 。 

0.9939780 sysname %%01IKE/A/WARNING(D): phase2: proposal or pfs dh-group mismatch, please check ipsec proposal 


and pfs dh-group 
*0.9939290 sysname IKE/7/DEBUG:got NOTIFY of type NO_ PROPOSAL CHOSEN 


# 两 端的 ACL 不 互 为 镜像 。 

*0.18797770 sysname %%01IKE/4/WARNING(): phase2: security acl mismatch. 
*#0.18797770 sysname IKE/7/DEBUG:Get IPsec policy: get IPsec policy failed 
*0.18797770 sysname IKE/7/DEBUG:validate_prop: no IPsec policy found 


以 上 为 IKEv1 的 情况 ，IKEv2 类 似 ， 强 叔 就 不 罗列 了 。 
6.14.3 IPSec VPN 业务 不 通 故 障 分 析 


业务 不 通 是 指 IPSec VPN 已 经 协商 成 功 ， 但 VPN 两 端的 私 网 业务 互通 有 问题 ， 这 
类 问题 一 般 发 生 在 复杂 网 络 的 调试 阶段 。 

。 可 能 是 部 分 业务 不 通 。 

。 可 能 单方 向 不 通 。 

。 可 能 是 分 舵 用 户 访问 总 舵 正 常 ， 但 不 同 分 舵 用 户 之 间 访 问 不 通 。 

要 想 确 定 以 上 问题 的 症结 所 在 ， 我 们 得 先 搞 清楚 总 舵 、 分 舵 用 户 通过 IPSec VPN 互 
访 时 的 业务 流程 ， 下 面 以 图 6-52 为 例 说 明 一 下 PC A 和 PC B 的 互 访 过 程 。 





”图 6-52 IKE/IPSec VPN 组 网 图 


(1) PC _A 发 出 的 报 文 能 到 达 FW_A， 要 求 PC A 到 FW_A 内 网 接口 的 路 由 可 达 。 

(2) PC_A 发 出 的 报 文 能 通过 FW_A 的 安全 策略 检查 ， 要 求 FW_A 满足 如 下 条 件 。 

。 FW_A 上 有 到 达 PC_B 所 在 网 段 的 路 由 ， 路 由 的 出 接口 为 应 用 了 IPSec 策略 的 接口 。 

。 FW_A 开放 了 IPSec VPN 对 应 的 Local 区 和 Untrust 区 的 域 间 安全 策略 , 允许 IKE 
协商 报 文 (UDP+500) 通过 。 

。 FW_A 上 开放 了 IPSec VPN 对 应 的 Trust 区 和 Untrust 区 的 域 间 安全 策略 ， 人 允许 
业务 报 文通 过 。 
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(3) 报 文 顺利 进入 IPSec 处 理 模块 ,要求 报 文 没 有 被 PSec 模块 之 前 的 其 他 模块 “劫持 ” 

报 文 在 进入 IPSec 处 理 模块 前 要 先 经 过 NAT 处 理 模 块 ( 源 NAT、 目 的 NAT),， 可 能 
会 被 NAT 模块 “支持 ” 即 匹 配 了 NAT 安全 策略 ， 导 致 报 文 没 能 进入 IPSec 处 理 模 块 ， 
相关 信息 请 参考 “附录 A 报 文 处 理 流程 ”。 

(4) 报 文 顺利 通过 运营 商 网 络 ， 要 求 IPSec 报 文 没 有 被 运营 商 网 络 丢 弃 ， 有 些 运营 
商会 限制 UDP+500/4500、AH、ESP 报 文 。 

(5) 到 达 FW_B 的 报 文 能 够 达到 PC_B。 

FW_B 上 当然 也 要 有 报 文 能 够 匹配 的 正确 的 路 由 和 安全 策略 。 

从 PC_B 返回 PC _A 的 报 文 处 理 流程 正好 相反 ， 不 再 详 述 。 

因为 IPSec SA 可 以 成 功 建立 ， 所 以 我 们 不 用 再 检查 IKE 协商 的 具体 参数 了 ， 只 要 
关注 业务 报 文 处 理 过 程 中 的 关键 环节 即 可 。 如 图 6-53 所 示 ， 强 叔 总 结 出 IPSec VPN 业务 
不 通 的 主要 原因 。 





图 6-53 IPSec VPN 业务 不 通 故障 分 析 


看 似 故 障 原 因 也 不 是 十 分 复杂 ， 但 在 实际 网 络 中 这 类 故障 不 太 好 排查 ， 主 要 原因 是 
在 于 总 舵 -分 舵 这 种 组 网 中 ， 分 舵 的 数量 可 能 会 比较 多 ， 总 艇 和 分 舵 、 分 能 和 分 舵 之 间 需 
要 通过 VPN 互通 的 网 段 也 比较 多 , 再 加 上 有 些 场景 下 还 要 求 分 艇 通过 总 和 能 防火 墙 的 NAT 
上 网 。 这 种 情况 下 路 由 、ACL、 安 全 策略 、NAT 策略 的 配置 都 会 比较 复杂 ， 非 常 可 能 出 
现 配 置 冲突 或 配置 遗漏 。 

在 网 络 调试 阶段 ， 遇 到 这 种 情况 建议 大 家 先 清空 已 经 建立 的 IPSec 隧道 (reset ipsec 
sa 和 reset ike sa) 和 会 话 (reset firewall session table)， 然 后 再 单独 针对 有 问题 的 网 络 
单独 触发 IKE 协商 ， 观 察 IPSec SA 建立 过 程 和 一 段 时 间 内 的 运行 情况 ， 找 出 故障 点 。 
具体 的 故障 排除 手段 跟前 两 节 用 到 的 手段 是 一 样 的 ， 这 里 不 再 详细 列 出 。 


6.14.4 IPSec VPN 业务 质量 差 故 障 分 析 


IPSec 业务 质量 差 指 VPN 业务 的 访问 速度 和 质量 下 降 ， 严 重 时 可 能 出 现 业 务 时 断 时 
续 ， 或 部 分 业务 不 通 。 这 类 问题 比较 难 地 位 ， 不 可 知 的 原因 非常 多 。 尤 其 是 在 华为 防火 
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墙 跟 其 他 厂商 设备 对 接 的 情况 下 ， 定 位 故障 原因 人 简直 跟 大 海 捞 针 差不多 。 这 里 强 叔 就 采 
用 排除 法 ， 先 给 出 最 常见 的 原因 吧 。 

1. 由 于 对 等 体检 测 或 SA 超时 导致 IPSec 反复 进行 隧道 协商 

网 络 运行 一 段 时 间 后 ， 出 现 有 规律 地 通信 中 断 ， 可 以 按 表 6-30 进行 排查 。 

表 6-30 由 于 网络 问题 或 生计 周期 超时 于 下 9 IPSec ie 







查看 IPSec 5。 累计 发 生 的 超时 次 数 或 DPD 
操作 次 数 


查看 IPSec SA 隧道 协商 状态 


查看 IPSec SA 建立 的 时 间 和 生存 周期 
剩余 的 时 间 / 字 节 


增加 IPSec SA 超时 时 间 , 观察 隧道 中 断 
现象 是 否 改 变 、 是 否 消失 


取消 IPSec VPN， 然 后 排除 运营 商 网 络 
质量 问题 


display ipsec statistics 


display ike sa remote ip-address 















确认 问题 是 否 
由 于 生存 周期 
配置 导致 







display ipsec sa remote ip-address 
sa duration { traffic-based 
kilobytes | time-based seconds } 
确认 问题 是 否 
由 于 运营 商 网 undo ipsec policy 
in 
络 质量 差 导致 | P "8 


为 了 帮助 大 家 理解 以 上 思路 ， 强 叔 带领 大 家 回顾 一 下 IPSec 隧道 维护 机 制 |。 
。 Keepalive 和 DPD 

Keepalive 和 DPD 是 用 来 检测 对 等 体 可 达 性 的 。 运 营 商 网 络 质量 较 差 或 者 运营 商 

网 络 对 某 些 报 文 进行 了 限制 《如 限制 大 包 ) 的 时 候 ， 可 能 会 被 Keepalive 或 DPD 

检测 到 ， 从 而 删除 IKE SA 和 IPSec SA， 导 致 IPSec 隧道 中 断 。 这 时 需要 考虑 排 

除 运 营 商 网 络 故障 。 

。 安全 联盟 生存 周期 (也 称 SA 超时 时 间 ) 

安全 联盟 生存 周期 有 两 种 定义 方式 : 基于 时 间 的 生存 周期 和 基于 流量 的 生存 周 

期 。 缺 省 情况 下 二 者 同时 开启 ， 哪 个 先 超 时 哪个 参数 生效 。 

IPSec VPN 两 个 协商 阶段 都 有 各 自 的 生存 周期 ， 缺 省 情况 下 IKE SA 的 超时 时 间 

为 一 天 ，IPSec SA 的 超时 时 间 为 一 小 时 。 看 似 没有 问题 ， 但 因为 IPSec SA 还 有 

一 个 流量 超时 在 起 作用 ， 所 以 容易 出 现 以 下 问题 。 

一 ”其 他 厂商 设备 可 能 不 支持 基于 流量 的 生存 周期 (流量 超时 )， 当 收 到 流量 超 
时 字段 时 可 能 会 触发 隧道 重 协商 。 所 以 在 与 不 支持 流量 超时 功能 的 设备 对 接 
时 最 好 关闭 本 端 防火 墙 的 流量 超时 功能 。 

一 ”在 总 舱 - 分 舵 组 网 中 ， 总 舵 发 往 分 舵 的 流量 很 大 ， 可 能 引起 总 舵 IPSec SA 流 
量 超时 。 同 时 由 于 总 舵 配 置 了 模板 方式 的 IPSec 安全 策略 ， 不 会 主动 发 起 重 
协商 。 总 舵 流 量 超时 删除 PSec SA， 但 分 舵 的 IPSec SA 仍 存在 ， 导 臻 VPN 
业务 中 断 。 关 闭 两 端 设 备 的 流量 超时 功能 或 者 把 流量 超时 参数 同时 调 到 最 大 
值 即 可 解决 问题 。 

2. 由 于 防火 墙 性 能 不 够 导致 IPSec 业务 质量 下 降 
防火 墙 在 网 络 上 运行 了 几 年 后 ， 随 着 业务 流量 的 持续 增长 可 能 出 现 性 能 不 够 的 情 
况 ， 可 以 按照 表 6-31 进行 排查 。 
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又 















表 6-31 由 于 防火 墙 性 能 不 够 导致 IPSec 隧道 不 稳定 故障 排除 步 






> 





检查 数据 面 的 CPU 占用 










i 若 配 置 了 这 些 功 能 可 以 先 将 其 


关闭 ， 然 后 再 检查 CPU 占用 率 
查看 分 片 报 文 统计 情况 





人 display firewall statistic 
有 下凡 3 


关于 报 文 分 片 对 IPSec 性 能 的 影响 ， 强 叔 这 里 详细 解释 一 下 。 

一 条 链 路 所 能 传输 的 最 大 报 文 长 度 被 称 为 MTU (Maximum Transfer Unit)，MTU 大 
小 与 接口 类 型 有 关 ( 如 以 太 网 口 缺 省 MTU 为 1 500 字 节 ), 链 路 MTU 由 这 条 链 路 上 MTU 
最 小 的 接口 决定 。 当 待 发 送 的 报 文 尺 寸 超过 接口 MTU 时 ， 设 备 会 先 对 加 密 后 的 报 文 进 
行 分 片 ， 然 后 再 发 送 。 接 收 端 收 到 一 个 IP 报 文 的 所 有 分 片 后 需要 先进 行 重组 ,然后 再 解 
密 。 分 片 及 重组 都 需要 消耗 CPU 资源 。 

从 IPSec 报 文 的 封装 过 程 来 看 ，IPSec 对 收 到 的 原始 IP 报 文 再 次 封装 《有关 IPSec 
报 文 封装 的 内 容 请 参考 前 面 介绍 过 的 封装 模式 、L2TP over IPSec 工作 原理 、GRE over 
IPSec 的 工作 原理 )， 每 次 封装 都 会 增加 新 的 开销 。 每 封装 一 层 增加 的 开销 与 封装 的 协议 
有 关 ， 请 参见 表 6-32。 

假设 IPSec 处 理 流 程 中 新 增 开 销 总 计 为 80 字 节 ， 大 于 1 420 字 节 的 报 文 经 IPSec 封 
装 后 将 超过 1 500 字 节 ， 发 送 前 都 需要 进行 分 片 。 当 数据 流 中 的 报 文 大 多 数 是 超过 1 420 
的 大 包 时 , CPU 资源 消耗 巨 增 , IPSec VPN 业务 的 访问 速度 和 质量 也 会 因此 而 大 大 下 降 。 
此 时 若 能 改变 网 络 结构 ， 减 少 报 文 封装 层级 (如 将 L2TP over IPSec 改 为 IPSec VPN )， 
性 能 问题 可 能 会 暂时 缓解 。 


表 6-32 协议 开销 字 节 列表 


确认 问题 是 否 由 于 UIM、 | display current- 
DPI、 攻 击 防范 等 特性 导致 ”| configuration configuration 





ESP 缺 省 为 56 5 ta 
ESP 报 文 增加 的 开销 跟 使 用 的 加 密 算法 和 是 否 使 用 验证 算法 有 关 
AH 24 
GRE 24 
NAT-T 8 
L2TP 12 
PPPoE 8 
IPSec 隧道 模式 20 
TOP 8 


防火 墙 自身 性 能 限制 导致 的 问题 有 两 种 解决 办 法 : 一 是 关闭 耗 性 能 的 业务 ， 二 是 升 
级 设备 硬件 。 是否 能 关闭 UTM、 攻 击 防范 这 类 功能 需要 看 网 络 环境 和 网 络 安 全 要 求 , 重 
要 、 高 安全 级 别 的 网 络 中 不 可 能 关闭 。 所 以 一 旦 出 现 防火 墙 性 能 瓶颈 问题 最 好 的 解决 方 
案 就 是 升级 硬件 一 一 将 传统 防火 墙 更 换 为 下 一 代 防 火 墙 。 网 络 设备 要 跟随 业务 需求 不 断 
向 前 发 展 ， 否 则 无 法 从 根本 上 解决 问题 ， 这 跟 我 们 为 了 追赶 最 新 体验 迫不及待 地 更 新 换 
代 手 机 是 一 样 的 道理 。 
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强 叔 提问 


3 


1. IPSec 支持 哪 两 种 封装 模式 ? 

2. IPSec 中 的 两 个 安全 协议 AH 和 ESP， 哪 一 个 不 支持 加 密 功 能 ? 

3. 

4. 建立 IPSec SA 时 ，IKEv1 版 本 和 IKEv2 版 本 在 交互 信息 个 数 上 有 什么 区 别 ? 


IKEv1 版 本 中 支持 哪 两 种 身份 认证 方式 ? 


两 台 防 火 墙 建立 IPSec 隧道 的 网 络 中 存在 NAT 网 关 设 备 ， 请 问 对 于 AH 和 ESP 


安全 协议 来 说 ， 如 何 进行 处 理 ? 


6. 


防火 墙 支持 哪 两 种 下 E 对 等 体检 测 机 制 ? 
在 GRE over IPSec 的 场景 中 ，IPSec 中 定义 ACL 时 ， 应 该 指定 原始 报 文 的 源 和 


目的 地 址 ， 还 是 经 过 GRE 封装 后 的 源 和 目的 地 址 ? 
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DSVPN 简 介 


Normal 方 式 的 DSVPN 
Shortcut 方 式 的 DSVPN 
Normal 方 式 和 Shortcut 方 式 对 比 

私 网 采用 静态 路 由 时 DSVPN 的 配置 
DSVPN 的 安全 性 

安全 策略 配置 思路 








pm 
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7.1 DSVPN 简介 


天 地 会 部 署 了 IPSec 以 后 ， 很 快 就 解决 了 分 舵 访 问 总 舵 时 的 安全 问题 。 然 而 好 景 不 
长 ， 随 着 业务 扩展 ， 分 舵 与 分 舵 之 间 逐 渐 有 了 相互 通信 的 需要 。 当 分 舵 采 用 动态 IP 地 址 
接 入 Internet 时 ，IPSec 在 解决 分 舵 与 分 舵 间 通信 时 通常 会 采用 以 下 两 种 方案 。 

(1) 分 舵 与 分 舵 间 的 通信 流量 由 总 舵 来 中 转 ， 分 舵 与 分 舵 间 不 直接 建立 VPN 
隧道 。 

如 图 7-1 所 示 , 分 舵 的 公 网 人 P 地 址 动态 变化 时 只 能 采取 总 舵 中 转 这 种 迁 回 的 办 法 来 
实现 分 舵 与 分 舵 之 间 通 信 ， 这 种 方案 有 两 个 缺点 : 一 是 会 大 量 消耗 总 舵 VPN 网 关 的 CPU 
及 内 存 资源 ， 二 是 总 舵 对 流量 加 解 封装 会 增加 额外 的 时 延 。 

总 能 @ 公 网 接口 (静态 IP) 
@ 公 网 接口 (动态 卫 ) 
呈 呈 IPSec 隧道 
所 -了 > 分 通 间 的 数据 流 







图 7-1 天 地 会 IPSecVPN 组 网 图 


(2) 分 舵 与 分 舵 之 间 直 接 建立 VPN 隧道 。 分 舵 采 用 静态 IP 地 址 时 ， 分 舵 与 分 舵 之 
间 可 以 直接 建立 IPSec 隧道 ;分 舵 采 用 动态 IP 地 址 时 ， 需 要 先 为 各 个 分 舵 的 VPN 网 关 
申请 域名 ， 然 后 分 舵 之 间 再 通过 域名 方式 建立 VPN 隧道 。 

申请 域名 需要 花 钱 暂且 不 提 , 分 舵 之 间 无 论 直接 建立 VPN 还 是 通过 域名 建立 VPN， 
都 会 将 VPN 网 络 搞 成 “全 网 状 ” 网 络 。 全 网 状 的 PSec VPN 网络， 其 配置 、 维 护 工作 
量 将 随 分 艇 数量 增长 而 成 指数 递增 。 

以 上 两 种 方案 可 以 解决 分 舵 与 分 舵 之 间 的 通信 问题， 但 只 能 看 做 是 一 种 权宜 之 计 。 
难道 就 没有 一 种 更 好 的 办 法 来 解决 分 舵 之 间 相 互通 信 的 问题 吗 ? 

当然 不 是 。 用 户 的 需求 不 会 因 技术 遇 到 瓶颈 而 消失 ， 相 反 它 在 不 断 鞭 策 着 技术 的 革 
新 。 于 是 一 种 新 型 的 VPN 技术 逐渐 进入 了 人 们 的 视野 ， 这 就 是 动态 VPN 技术 。 今 天 强 
叔 要 讲 的 DSVPN (Dynamic Smart Virtual Private Network， 动 态 智能 VPN)， 就 是 动态 
VPN 技术 大 军 中 的 一 种 ， 是 在 IP 地 址 动态 变化 的 网 关 之 间 建立 VPN 隧道 的 一 种 技术 。 
它 的 出 现 不 但 完美 地 解决 了 分 舵 与 分 舵 间 相互 通信 的 需求 , 还 可 以 简化 整个 VPN 网 络 的 
维护 工作 ， 其 优越 性 令 天 地 会 欣喜 万 分 。 
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CI 说 明 


目前 ， 只 有 USG2000/5000/6000 系列 防火 墙 支持 DSVPN 特性 。 


DSVPN 典型 组 网 如 图 7-2 所 示 ， 其 节点 名 称 很 特色， 中 心 节点 被 称 为 Hub， 分支 
节点 被 称 为 Spoke， 整 张 网 络 由 在 Hub 和 Spoke 节点 之 间 建 立 的 静态 和 动态 MGRE 隧道 
构成 。 


Hub 

< @ 。 公 网 接口 (静态 IP) 

@ 公 网 接口 (动态 IP) 

静态 MGRE 隧道 

5--2 动态 MGRE 隧道 

所 一 > Spoke-Spoke 间 的 数据 流 









7-2 ”天 地 会 DSVPN 组 网 
MGRE 隧道 ? 还 有 静态 和 动态 之 分 ? 它 跟 GRE 隧道 有 什么 关系 呢 ? 一连串 的 问题 
向 强 叔 抛 来。 实际 上 ，DSVPN 采用 的 隧道 封装 协议 就 是 GRE 协议 ， 只 是 DSVPN 在 使 
用 GRE 协议 时 做 了 一 点 点 改进 。 它 将 传统 GRE 协议 的 点 到 点 〈P2P) 隧道 扩展 成 了 点 
到 多 点 隧道 ， 也 就 是 将 Tunnel 口 的 类 型 由 P2P 变 为 P2MP 类 型 。 这 样 在 DSVPN 的 网 关 
(Hub 或 Spoke) 上 只 需要 配置 一 个 Tunnel 接口 便 可 与 多 个 对 端 建立 隧道 ， 从 而 减少 了 
配置 GRE 隧道 的 工作 量 。 利 用 P2MP 类 型 的 Tunnel 接口 建立 起 来 的 GRE 隧道 被 称 为 

MGRE (Multipoint Generic Routing Encapsulation) 隧道 。 


[0 说 明 
如 果 不 严 格 地 做 概念 上 的 区 分 ， 也 可 以 将 DSVPN 中 建立 的 隧道 称 为 GRE 隧道 ， 因 为 其 封 
装 协 议 就 是 GRE。 
DSVPN 最 常用 的 实现 方式 是 Normal 方式 ， 下 面 我 们 就 先 来 学 习 一 下 Normal 方式 。 
7.2 ”Normal 方 式 的 DSVPN 


7.2.1 配置 Normal 方式 DSVPN 
如 图 7-3 所 示 , 总 舵 Hub 节点 公 网 接口 GE1/0/1 有 固定 了 P 地 址 3.3.3.3/24, 两 个 Spoke 
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节点 的 公 网 接口 GE1/0/1 为 动态 获取 IP 地 址 。 在 这 三 个 节点 之 间 建 立 DSVPN 网 络 ， 方 
便 分 舵 之 间 的 通信 。 



















@ 。 公 网 接口 ( 靖 态 I) 
Tunnell: 10113P4 加 4 io。 。 人 @@ 。 公 网 接口 (动态 下) 
GE1/0/1: 3.3.3.3/24 静态 MGRE 隧道 


Tunnell : 10.1.1.2/24 
GE1/0/1: 2.2.2.2/24 


Tunnell: 10.1.1.1/24 
GE1/0/1: 1.1.1.1/24 


Spoke_A mss | Spoke B 


图 7-3 DSVPN 组 网 


Normal 方式 的 DSVPN 配置 如 表 7-1 所 示 。 
表 7- 





配置 DSVPN (Normal 方式 ) 


























人 

interface Tunnell 
ip address 10.1.1.1 255.255.255.0 
tunnel-protocol 


interface Tunnell 
ip address 10.1.1.2 255.255.255.0 
tunnel-protocol gre p2mp 


interface Tunnell 
ip address 10.1.1.3 255.255.255.0 


配置 Source GigabitEthernet1/0/1 source GigabitEthernet1/0/1 tunnel-protocol gre p2mp 
g 
MGRE | nhrp en 1.1.3 Tegister | nhrp entry 10.1.1.3 3 ter source GigabitEthernet1/0/1 
nhrp entry multicast dynamic ospf | nhrp entry multicast dynamic ospf | nhrp entry multicast dynamic 


network- bro t ospf dr- 
Priority 0 
ospf 1 
配置 私 | area 0.0.0.0 

网 路 由 network 10.1.1.0 0.0.0.255 
network 192.168.1.0 0.0.0.255 


network-type_broadcast ospf dr- ospf network-type broadcast 


priority 0 


ospf 1 
area 0.0.0.0 
network 10.1.1.0 0.0.0.255 
network 192.168.2.0 0.0.0.255 


以 上 配置 思路 很 简单 ， 整 个 可 以 分 为 三 部 分 。 

(1) 配置 p2mp 类 型 的 GRE 隧道 。 要 求 各 个 节点 的 Tunnel 口 IP 地 址 必须 在 一 个 
网 段 。 

(2) 配置 “nhrp entry”(NHRP 表 项 )。 要 求 Spoke 节点 的 NHRP 表 项 指向 Hub 节点 。 

(3) 配置 OSPF 解决 私 网 路 由 问题 。 

本 例 中 OSPF 网 络 类 型 为 broadcast，OSPF 会 将 静态 MGRE 隧道 构成 的 网 络 视 作 以 
太 网 ， 并 按 以 太 网 的 路 由 学 习 机 制 来 学 习 路 由 。 





ospf 1 

area 0.0.0.0 
network 10.1.1.0 0.0.0.255 
network 192.168.3.0 0.0.0.255 
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在 路 由 学 习 阶 段 ，Spoke 和 Hub 需要 “组 播 ”( 可 以 理解 为 群发 ) 路 由 消息 。 此 时 ， 
就 需要 维护 一 个 组 播 成 员 列 表 ， 从 而 明确 都 向 哪些 节点 进行 发 送 。nhrp entry multicast 
dynamic 命令 就 是 用 于 生成 组 播 成 员 列 表 。 

以 上 命令 配置 下 去 立马 就 会 收获 两 条 “静态 MGRE 隧道 ” 在 此 基础 上 DSVPN 再 
施展 个 人 魅力 ,“ 四 处 游说 ”随心所欲 建立 “动态 NGRE 隧道 ”。DSVPN 的 “四 处 游说 ” 
靠 什 么 呢 ? 靠 的 就 是 NHRP (Next Hop Resolution Protocol， 下 一 跳 地 址 解析 协议 )。 协 
议 细节 我 们 在 讲解 静态 MGRE 隧道 和 动态 NGRE 隧道 建立 过 程 中 揭 密 。 


7.2.2” Normal 方式 的 DSVPN 原理 


阶段 1 在 Hub 和 Spoke 之 间 建 立 静态 隧道 

(1) Spoke 向 Hub 发 送 NHRP 注册 消息 ， 注 册 消 息 中 包含 了 Spoke 自身 的 Tunnel 
地 址 和 公 网 接口 地 址 。 

(2) Hub 从 注册 请 求 中 提取 Spoke 的 Tunnel 地 址 和 公 网 接口 地 址 ， 并 初始 化 NHRP 
映射 表 ， 从 而 建立 两 者 之 间 的 静态 MGRE 隧道 。 

当 Spoke 节点 公 网 接口 IP 地 址 发 生变 化 时 ， 会 引发 接口 状态 Up、Down 变化 ， 进 
而 触发 Spoke 向 Hub 的 重新 注册 , 保证 Hub 节点 上 始终 都 有 Spoke 节点 最 新 的 公 网 接口 
IP 地 址 信息 。 

192.168.3.0/24 @ 公 网 接口 (静态 人 P) 


Ee ub tet 
I oni fT Ml Hr 静态 MGRE 隧道 
a 











NHRP 映射 表 


Tunnell: 10.1.1.3/24 ”一 > NHRP 注 册 请 求 /应 答 消 息 
GE1/0/1: 3.3.3.3/24 


Tunnell: 10.1.1.1/24 Tunnell: 10.1.1.2/24 


GE1/0/1: 1.1.1.1/24 SR GE1/0/1: 2.2.2.2/24 
192.168.1.0/24 We 192.168.2.0/24 
Spoke A Spoke_B 
Tunnel 地 址 Tunnel 地 址 
NHRP 映射 表 [ee 地址 | i 
了 多 村 10.1.1.3 3.3.3.3 10.1.1.3 3333 本 


7-4 初始 化 NHRP 映射 表 并 在 Hub 和 Spoke 之 间 建 立 静态 隧道 


三 个 节点 的 NHRP 映射 表 初 始 化 完成 就 意味 着 静态 隧道 已 经 建立 , 可 以 通过 display 
nhrp entry brief 命令 查看 隧道 建立 结果 。 至 此 ，Spoke 节点 就 可 以 通过 Hub 节点 相互 通 
信 了 。 信 息 通 道 打通 之 后 的 任务 就 是 要 考虑 如 何 促成 动态 隧道 的 建立 ， 这 个 重任 也 由 
NHRP 全 权 承 担 。 

阶段 2 在 Spoke 与 Spoke 之 间 建 立 动态 隧道 

(1) 静态 MGRE 隧道 建立 之 后 ， 在 隧道 接口 上 配置 的 OSPF 协议 开始 路 由 学 习 ， 学 
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习 结 果 见 图 7-5 中 的 路 由 表 。 

192.168.3.0/24 登 ” 公 网 接口 (静态 IP) 
@ 。 公 网 接口 (动态 IP) 
一 > OSPF 路 由 交互 报 文 


Tunnell: 10.1.1.3/24 静态 MGRE 隧道 
GE1/0/1: 3.3.3.3/24 










ET 






路 由 表 






Tunnell: 10.1.1.1/24 
GELO/1: 1.1.1.1/24 





图 7-5 Hub 和 Spoke 节点 的 路 由 学 习 结果 


插播 一 个 小 花 和 化 : Spoke 节点 上 为 什么 要 配置 ospf dr-priority 0 命令 ? 

在 broadcast 类 型 的 OSPF 网 络 中 ， 所 有 路 由 信息 都 要 由 网 络 中 的 DR (Designated 
Router) 广播 到 其 他 节点 。 网 络 中 由 哪个 设备 充当 DR， 是 根据 各 设备 发 布 OSPF 路 由 的 
接口 优先 级 来 决定 ， 接 口 优先 级 高 的 设备 就 会 被 选举 为 DR。 在 本 场景 中 ，Hub 需要 向 
Spoke 发 布 路 由 信息 ， 因 此 需要 将 Hub 的 Tunnel 接口 选举 为 网 络 中 的 DR。 而 缺 省 情况 
下 ，Spoke 和 Hub 上 Tunnel 接口 对 应 的 优先 级 都 为 1。 使 用 本 命令 可 以 降低 Spoke 的 
Tunnel 接口 的 优先 级 (本 例 设置 为 0)， 当 Spoke 的 Tunnel 接口 优先 级 低 于 Hub 以 后 ， 
就 可 以 确保 Hub 被 选举 为 DR。 此 处 也 可 以 采用 提高 Hub 的 Tunnel 接口 优先 级 的 办 法 
达到 这 个 目的 ， 效 果 是 一 样 的 。 

从 路 由 学 习 结 果 来 看 ， 每 个 节点 都 学 习 到 了 “其 他 所 有 节点 的 私 网 路 由 且 下 一 跳 是 
隧道 对 端 设备 的 Tunnel 口 IP 地 址 ”。 例如，Spoke A 学 习 到 了 到 Spoke B 私 网 路 由 ， 路 
由 的 下 一 跳 刚好 是 Spoke_B 的 Tunnel 接口 地 址 10.1.1.2。 

现在 是 路 由 具备 只 欠 东 风流 量 ) 了 。 

(2) 流量 触发 在 Spoke 与 Spoke 之 间 建 立 动态 隧道 。 当 两 个 Spoke 节点 下 的 用 户 要 
通信 时 ，Spoke 节点 的 “智能 ”之 处 开始 展现 。 首 先 源 Spoke 节点 不 会 盲目 地 将 流量 按 
路 由 表 转 发 ,而 是 会 在 转发 流量 的 同时 查 查 自己 的 小 算盘 (NHRP 表 ), 没有 查 到 相应 表 
项 就 会 发 送 NHRP 地 址 解析 请 求 给 Hub 节点 。 等 到 收 到 NHRP 回应 报 文 后 ， 会 先 刷 新 
NHRP 表 建 立 动态 MGRE 隧道 ， 然 后 再 通过 新 建 的 MGRE 动态 隧道 转发 后 续 流 量 。 也 
就 是 说 DSVPN 的 智能 全 依赖 NHRP 地 址 解析 请 求 /回应 报 文 和 NHRP 表 的 密切 配合 。 下 
面 强 叔 以 Spoke_A 下 的 用 户 访问 Spoke_B 下 的 用 户 为 例 进行 说 明 , 详细 的 报 文 转发 过 程 
如 图 7-6 所 示 。 
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[esioa arr | 
[sieszoal outz | @。 公 网 接 (着 态 IP，) 
i @ 公 网 接口 (动态 IP) 


NHRP 映射 表 | 10.11.1 2 1 | 一 > NHRP 地 址 解析 请 求 / 应 答 消息 
: Tunnell: 10.1.1.3/24 ”EE 静态 MGRE 隧道 
GE1/0/1: 3.3.3.3/24 seem 动态 MGRE 隧道 






192.168.3.0/24 










Tunnell: 10.1.1.1/24 


Tunnell: 10.1.1.2/24 
GE1/0/1: 1.1.1.1/24 


GE1/0/1: 2.2.2.2/24 


192.168.1.0/24 192.168.2.0/24 


Spoke_B 


路 由 表 


192.168.2.0/24 10.1.1.2 


RE ， 
| | 





图 7-6 在 Spoke 与 Spoke 之 间 建 立 动态 隧道 


G@ 用 户 报 文 首 包 触发 Spoke_A 的 NHRP 地 址 解析 请 求 。 

Spoke A 收 到 其 下 用 户 访问 192.168.2.0/24 网 段 的 业务 报 文 时 ， 查 找 路 由 表 。 发 现 
下 一 跳 10.1.1.2 与 自己 的 Tunnel 接口 地 址 在 一 个 网 段 ， 据 此 判断 该 报 文 需要 通过 MGRE 
隧道 的 Tunnel 接口 发 送 。 然 后 再 根据 下 一 跳 10.1.1.2 在 NHRP 映射 表 中 查找 隧道 对 端的 
(CSpoke B) 的 公 网 接口 地 址 。 由 于 此 时 Spoke A 的 NHRP 映射 表 中 还 不 存在 Spoke B 
的 公 网 地 址 ， 因 此 Spoke_A 会 默认 将 该 报 文 直接 转发 给 Hub。 同 时 ， 触 发 NHRP 地 址 解 

解析 请 求 中 包含 了 本 端的 Tunnel 地 址 10.1.1.1 和 公 网 接口 GE1/0/1 地 址 1.1.1.1， 还 
有 需要 解析 的 Spoke_B 的 Tunnel 接口 地 址 10.1.1.2， 如 表 7-2 所 示 。 


表 7-2 Normal 方式 的 NHRP 地 址 解析 请 求 














10.1.1.1 
.1 


址 ; 


NHRP 地 址 解析 请 求 GE1/0/1 地 址 ; 


公 网 接口 地 址 : 

@ Hub 按 路 由 表 转 发 业务 报 文 ， 并 向 Spoke_B 转发 NHRP 的 地 址 解析 请 求 。 

@ Spoke B 刷新 本 地 NHRP 表 并 返回 NHRP 应 答 消 息 。 

Spoke_B 首先 从 NHRP 地 址 解析 请 求 中 提取 Spoke_A 的 Tunnel 地 址 10.1.1.1 和 公 网 
接口 地 址 1.1.1.1， 并 将 该 信息 更 新 到 自己 的 NHRP 映射 表 中 ( 见 NHRP 映射 表 中 的 黑色 
粗 体 表 项 )。 同 时 ，Spoke_B 生成 NHRP 地 址 解析 应 答 消息 返回 给 Hub， 再 由 Hub 转发 
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给 Spoke A。 
NHRP 应 答 消 息 中 包含 Spoke B 的 Tunnel 地 址 10.1.1.2 和 公 网 地 址 2.2.2.2， 如 表 7-3 

所 示 。 

表 7-3 Normal 方式 的 NHRP 地 址 解析 应 答 


Tunnel 地 址 : 10.1.1.2 
公 网 接口 地 址 : 2.2.2.2 


















NHRP 地 址 解析 应 答 


@ Spoke A 与 Spoke_B 建立 动态 MGRE 隧道 。 

Spoke A 收 到 Spoke B 的 NHRP 应 答 消息 后 ， 将 从 应 答 消息 中 提取 Spoke B 的 
Tunnel 地 址 10.1.1.2 和 公 网 接口 地 址 2.2.2.2， 更 新 到 自己 的 NHRP 映射 表 中 〈 见 NHRP 
映射 表 中 的 黑色 粗 体 表 项 )。 

至 此 ，Spoke 之 间 的 MGRE 动态 隧道 建立 完成 。 当 Spoke_A 再 次 收 到 其 下 用 户 发 送 
给 Spoke B 下 用 户 的 业务 报 文 时 ，Spoke_A 将 会 通过 新 建 的 动态 MGRE 隧道 传送 此 报 
文 到 Spoke B。 如 图 7-7 所 示 ， 我 们 以 Spoke A 单 向 发 送 数据 给 Spoke_B 为 例 ， 介 绍 一 
下 通过 动态 MGRE 隧道 发 送 报 文 的 过 程 。 

Spoke A Spoke_B 

GE1/O/1: 1.1.1.1 GE1/0/1: 2.2.2.2 


Tunnell: 10.1.1.1 Tunnell: 10.1.1 | 
ee : 192.168.2.0/24 












192.1682.0124| 10112 | 目的 地 址 


192.168.2.0/24| 192.168.2.1 











四 
a 


@ 公 网 接口 (动态 IP) 5--2 动态 MGRE 隧道 
图 7-7 Spoke_A 发 送 数 据 给 Spoke_B 


@ Spoke A 再 次 收 到 发 往 Spoke B 的 业务 报 文 以 后 ， 以 该 报 文 的 目的 网 段 
192.168.2.0 查找 路 由 表 ， 确 定 路 由 下 一 跳 地 址 为 10.1.1.2。 

@ Spoke_A 发 现下 一 跳 地 址 10.1.1.2 与 Tunnell 接口 地 址 在 一 个 网 段 ， 据 此 判断 该 
报 文 需要 通过 MGRE 隧道 的 Tunnel 接口 发 送 。 接 下 来 Spoke_A 根据 下 一 跳 地 址 10.1.1.2 
查找 NHRP 映射 表 ， 找 到 Spoke B 的 公 网 接口 地 址 2.2.2.2。 

@ 原始 报 文 进入 Tunnel 接口 后 进行 GRE 封装 ， 封 装 后 的 GRE 报 文 目的 地 址 为 
2.2.2.2。 然 后 ，Spoke_A 再 次 查找 路 由 表 转 发 GRE 报 文 。 

@ Spoke B 收 到 GRE 报 文 后 送 到 Tunnel 接口 进行 解 封装 ， 解 封装 后 的 报 文 恢复 成 
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原始 报 文 。 

@) Spoke_B 查找 路 由 表 ， 转 发 解 封装 后 的 原始 报 文 。 

讲 到 这 里 大 家 明白 了 吧 : DSVPN 中 Hub 中 转 Spoke 之 间 的 流量 和 传统 IPSec 方案 
中 总 舵 中 转 分 舵 的 流量 是 有 本 质 区 别 的 。IPSec VPN 方案 中 ， 总 舵 中 转 了 分 舵 与 分 舵 之 
间 全 部 的 通信 流量 .而 DSVPN 中 Hub 只 是 在 初始 阶段 中 转 了 Spoke 与 Spoke 之 间 的 少 
量 业 务 报 文 和 NHRP 地 址 解析 请 求 /回应 报 文 ， 等 到 Spoke 和 Spoke 之 间 获 取 彼 此 公 网 
接口 IP 地 址 ， 并 将 动态 MGRE 隧道 建立 好 以 后 ，Hub 就 不 再 中 转 后 续 业 务 流量 了 

为 了 演示 一 下 效果 , 此 处 使 用 Spoke_A 下 的 用 户 来 Ping Spoke B 下 的 用 户 ， 可 以 查 
看 Spoke A 上 生成 的 会 话 表 以 及 NHRP 映射 表 。 

。 Spoke A 的 会 话 表 

[Spoke_ A] display firewall session table verbose 

Current Total Sessions : 3 
gre VPN: public --> public 1.1.1.1:0-->2.2.2.2:0 


- gre VPN:public --> public 1.1.1.1:0-->3.3.3.3:0 
icmp VPN:public --> public 192.168.1.1:44086-->192.168.2.1:2048 


第 一 条 GRE 会 话 是 Spoke_A 与 Spoke B 建立 的 MGRE 隧道 对 应 的 会 话 。 
第 二 条 GRE 会 话 是 Spoke A 与 Hub 建立 的 MGRE 隧道 对 应 的 会 话 。 

第 三 条 ICMP 会 话 是 Spoke A 下 的 用 户 ping Spoke B 下 的 用 户 对 应 的 会 话 。 
。 Spoke A 的 NHRP 映射 表 


[Spoke_A] display nhrp entry brief 
current NHRP entry number: 3 


ts 


li 3 11 10.1.1.1 local Up 
10112 32 2222 10.1.1.2 dynamic Up 
10113 22 3333 10.1.1.3 satic UplHub 


此 处 NHRP 映射 表 中 的 Protocol-addr 指 隧道 本 端 /对 端 Tunnel 口 地 址 ，NBMA-addr 
指 隧道 本 端 /对 端 物理 口 公 网 IP 地 址 。 

从 Spoke A 的 NHRP 映射 表 中 我 们 可 以 看 到 已 经 生成 了 一 条 Protocol-addr 为 
10.1.1.2, NBMA-Addr 为 2.2.2.2, 下 一 跳 为 10.1.1.2 的 表 项 , 这 表明 Spoke A 和 Spoke B 
之 间 的 MGRE 隧道 已 经 建立 成 功 。 

介绍 完了 Normal 方式 的 DSVPN 的 配置 及 原理 以 后 , 想必 大 家 一 定 会 问 : 还 有 其 他 
方式 的 DSVPN 吧 ? 当 OSPF 的 网 络 类 型 设置 为 p2mp 时 , 另 一 种 被 称 为 Shortcut 方式 的 
DSVPN 就 诞生 了 。 


7.3 Shortcut 方式 的 DSVPN 


当 我 们 将 DSVPN 中 的 OSPF 路 由 的 网 络 类 型 设置 为 bp2mp 时 ，DSVPN 的 路 由 学 习 机 
制 肯定 会 有 变化 ,这 是 OSPF 本 身 决定 的 , 但 其 路 由 学 习 的 结果 会 有 不 同 么 ? 另外 最 关键 是 
OSPF 的 网 络 类 型 的 变化 会 影响 NHRP 协议 吗 ? 毕竟 NHRP 协议 才 是 DSVPN 的 核心 .OSPF 
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协议 只 是 GRE 隧道 建立 中 需要 借助 的 一 个 助手 罢了 , 单纯 以 OSPF 网 络 类 型 来 划分 DSVPN 
的 类 型 似乎 有 点 不 妥 。 让 我 们 带 着 这 些 疑 问 来 学 习 Shortcut 方式 的 DSVPN 吧 。 
7.3.1 配置 Shortcut 方式 的 DSVPN 


如 图 7-8 所 示 ， 总 舵 Hub 节点 公 网 接口 GE1/0/1 有 固定 IP 地 址 3.3.3.3/24， 两 个 Spoke 
节点 的 公 网 接口 GE1/0/1 为 动态 获取 IP 地 址 。 在 这 三 个 节点 之 间 建 立 DSVPN 网 络 ， 方 
便 分 舵 之 间 的 通信 。 










@ 公 网 接口 (静态 IP) 
Hub @ 公 网 接口 (动态 IP) 
EE 静态 MGRE 隧道 
3332 动态 MGRE 隧道 


Tunnell: 10.1.13124 di 
GE1/0/1: 3.3.3.3/24 MM 


Tunnell: 10.1.1.2/24 
GE1/O/1: 2.2.2.2/24 


Tunnell: 10.1.1.1/24 
GE1/O01: 1.1.1.1/24 / 


------------------- 一 
-------------------- 


图 7-8 DSVPN 组 网 


配置 Shortcut 方式 的 DSVPN 与 配置 Normal 方式 的 DSVPN 相 比 ，OSPF 网 络 类 型 
改 为 p2mp。 男 外 ，Spoke 需要 将 隧道 建立 方式 改 成 Shortcut 方式 。Hub 由 于 要 发 送 NHRP 
重 定向 消息 ， 因 此 需要 配置 nhrp redirect 命令 ， 配 置 如 表 7-4 所 示 。 


表 7-4 配置 shortcut 方式 的 DSVPN 





interface Tunnell 
ip address 10.1.1.2 255.255.255.0 
tunnel-protocol gre p2mp 


















interface Tunnell 
ip address 10.1.1.1 255.255.255.0 
tunnel-protocol gre p2mp 










interface Tunnell 
ip address 10.1.1.3 255.255.255.0 









配置 | source GigabitEthermet1/0/1 source GigabitEthemet1/0/1 Se Po 2 . 
MGRE | nhmpentry10.1.1.33.3.3.3register | nhrp entry 10.1.1.3 3.3.3.3 register 3 i OL 
nhrp entry multicast dynamic nhrp entry multicast dynamic f pe 了 2 ye 
ospf network-type p2mp ospf network-type p2mp es i type pmp 
nhrp shortcut nhrp shortcut nhrp redirect 






ospf 1 
area 0.0.0.0 

network 10.1.1.0 0.0.0.255 

network 192.168.2.0 0.0.0.255 


ospf 1 

area 0.0.0.0 
network 10.1.1.0 0.0.0.255 
network 192.168.3.0 0.0.0.255 


ospf 1 

area 0.0.0.0 
network 10.1.1.0 0.0.0.255 

network 192.168.1.0 0.0.0.255 






网 路 由 
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7.3.2 Shortcut 方式 的 DSVPN 原理 


同 Normal 方式 的 DSVPN 一 样 ，Shortcut 方式 的 DSVPN 也 是 先 建立 静态 MGRE 隧 
道 ， 然 后 协商 建立 动态 MGRE 隧道 。 静 态 MGRE 隧道 的 建立 过 程 没 有 变化 ， 不 同 的 是 
动态 MGRE 隧道 建立 过 程 。 不 同 点 从 OSPF 路 由 学 习 开 始 ， 我 们 着 重 介绍 这 部 分 。 

阶段 2 在 Spoke 与 Spoke 之 间 建 立 动态 隧道 

(1) 静态 MGRE 隧道 建立 之 后 ， 在 隧道 接口 上 配置 的 OSPF 协议 开始 路 由 学 习 ， 得 
到 如 图 7-9 所 示 的 路 由 表 。 


192.168.3.0/24 
@ 。 ” 公 网 接口 (静态 IP) 









目的 地 址 ee @ 。 公 网 接口 (动态 IP) 
路 由 表 [192.168.1.0/24| 101.11 | 一 > OSPF 路 由 交互 报 广 


192.168.2.0/24 10.1.1.2 


Tunnell: 10.1.1.3/24 “”EE3 静态 MGRE 隧道 
GE1/0/1: 3.3.3.3/24 












Tunnell: 10.1.1.1/24 






: Tunnell: 10.1.1.2/24 
GE1/0/1: 1.1.1.1/24 Ww GE1/0/1: 2.2.2.2/24 
wn 上 
192.168.1.0/24 192.168.2.0/24 
Spoke A Spoke_B 
目的 地 址 
路 由 表 |192.168.3.0/24| “101.13 192.168.3.0/24| ”10.1.13 | 路 由 表 
192.168.2.0/24| ”10.1.13 | 192.168.1.0/24| 10.1.1.3 


图 7-9 Hub 和 Spoke 节点 的 路 由 学 习 结果 (Shortcut 方式 ) 


这 里 需要 注意 : 当 OSPF 网 络 类 型 为 broadcast 时 ， 各 节点 相互 学 习 完 路 由 以 后 ， 源 
Spoke 到 目的 Spoke 私 网 路 由 的 下 一 跳 就 会 指向 目的 Spoke 的 Tunnel 接口 地 址 。 当 我 们 
将 OSPF 网 络 类 型 改 为 p2mp 类 型 ， 各 节点 相互 学 习 完 路 由 以 后 ， 所 有 节点 都 学 习 到 了 
通 往 其 他 节点 的 私 网 路 由 ， 路 由 的 下 一 跳 都 指向 Hub 的 Tunnel 地 址 。 例 如 ，Spoke_A 
学 习 到 了 到 Spoke_B 的 私 网 路 由 ， 路 由 的 下 一 跳 是 Hub 的 Tunnel 地 址 10.1.1.3。 

(2) 流量 触发 在 Spoke 与 Spoke 之 间 建 立 动态 隧道 。 

当 流 量 触发 源 Spoke 发 送 NHRP 地 址 解析 请 求 时 就 会 产生 一 个 问题 。 

在 Normal 方式 的 DSVPN 中 ,Spoke_A 发 出 的 NHRP 地 址 解析 请 求 中 会 带 有 路 由 下 
一 跳 10.1.1.2， 这 个 路 由 下 一 跳 就 是 Spoke _B 的 Tunnel 地 址 ，Spoke B 收 到 NHRP 地 址 
解析 请 求 以 后 发 现 10.1.1.2 是 自己 的 Tunnel 地 址 ， 于 是 才 会 回复 这 个 NHRP 地 址 解析 请 
求 ， 告 知 对 方 自己 的 公 网 地 址 。 

但 按照 当前 的 路 由 学 习 结果 ，Spoke A 到 Spoke B 私 网 路 由 的 下 一 跳 是 Hub 的 
Tunnel 地 址 10.1.1.3。 如 果 此 时 Spoke A 发 出 的 NHRP 地 址 解析 请 求 中 请 求 的 目的 地 址 
仍 是 路 由 下 一 跳 地 址 10.1.1.3 的 话 ， 那 回复 该 请 求 报 文 的 当然 应 该 是 Spoke C， 而 不 是 
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Spoke B。 这 就 等 于 阴 差 阳 错 ， 找 错 对 象 了 ! 怎么 办 ? NHRP 当然 也 没有 那么 教条 ， 世 
易 时 移 ， 识 时 务 者 长 存 。 所以, NHRP 聪明 地 将 地 址 解析 请 求 /回应 报 文 内 容 进 行 了 修改 。 

Spoke_A 发 出 的 NHRP 地 址 解析 请 求 中 “请 求 的 目的 地 址 ” 换 成 了 Spoke_B 的 私 
网 地 址 192.168.2.1。 这 样 Spoke_B 在 收 到 Hub 转发 来 的 NHRP 地 址 解析 请 求 时 ， 会 查 
看 这 个 私 网 地 址 是 不 是 自己 私 网 中 的 IP 地 址 。 如 果 是 ， 它 就 回复 这 个 NHRP 地 址 解析 
请 求 ， 告 知 对 方 自己 的 公 网 地 址 ;如果 不 是 ，Spoke_B 就 直接 丢掉 该 地 址 解析 请 求 。 

Spoke_A 收 到 来 自 Spoke_B 的 NHRP 地 址 解析 回应 报 文 后 , 刷新 本 地 NHRP 表 , 建 
立 动态 MGRE 隧道 。 如 图 7-10 所 示 ， 强 叔 以 Spoke_A 下 的 用 户 访问 Spoke_B 下 的 用 户 
为 例 说 明 Shortcut 方式 的 MGRE 动态 隧道 建立 过 程 。 


上下 
中 由 表 52-1681024| or | 


192.168.2.0/24| 10.1.1.2 | @@ 。 公 网 接口 (静态 IP) 
















本 公 风 接口 (动态 IP) 
NHRP 映 射 表 | 10111 | LU 一 > NHRP 消息 


10112 | 2222 | Ban 


公 网 IP: 3.3.3.3 EE 静态 MGRE 隧道 


Tunnel IP: 10.1.1.3 ramsy 动态 MGRE 隧道 


公 网 IP: 1.1.1.1 


公 网 地 址 : 2.2.2.2 
Tunnel IP: 10.1.1.1 会 网 二 


> AS Tunnel 地 址 : 10.1.1.2 
















192.168.1.0/24 192.168.2.0/24 
Spoke A Spoke_B 
目的 地 址 目的 地 址 
路 由 下 路 由 表 
192.168.2.0/24| 10.1.1.3 | 192.168.1.0/24| 101.1.3 | 
NRP 喘 身 下 Ee 网 ] 的 网 让 en 
its | 34 | 





rn 
图 7-10 在 Spoke 与 Spoke 之 间 建 立 动态 隧道 (Shortcut 方式 ) 


@ 用 户 报 文 首 包 触发 Hub 向 Spoke_A 发 送 NHRP 重 定向 消息 。 

Spoke_A 收 到 其 下 用 户 的 业务 报 文 时 ， 首 先 查 找 路 由 表 ， 发 现下 一 跳 10.1.1.3 与 自 
己 的 Tunnel 接口 地 址 在 一 个 网 段 ， 据 此 判断 该 报 文 需要 通过 MGRE 隧道 的 Tunnel 接口 
发 送 。 然 后 再 根据 报 文 的 目的 地 址 192.168.2.0 查找 NHRP 映射 表 。 此 时 ，Spoke A 的 
NHRP 映射 表 中 还 不 存在 Spoke_B 的 公 网 地 址 。 当 Spoke_A 通过 目的 地 址 192.168.2.0 
找 不 到 Spoke_B 的 公 网 地 址 以 后 ，Spoke_A 会 再 根据 路 由 对 应 的 下 一 跳 10.1.1.3 查找 
NHRP 映射 表 。 发 现 10.1.1.3 在 NHRP 映射 表 中 有 对 应 的 公 网 地 址 ( 即 Hub 的 公 网 地 址 )， 
于 是 Spoke_A 将 此 报 文 发 送 至 Hub。 

Hub 收 到 Spoke_A 的 业务 报 文 以 后 ， 发 现 Spoke_A 具备 与 Spoke_B 建立 隧道 直接 
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通信 的 条 件 。 因 此 ，Hub 向 Spoke_A 发 送 NHRP 重 定向 消息 , 通知 Spoke A 与 Spoke B 
建立 动态 隧道 直接 通信 。 

@ Spoke_A 发 送 NHRP 地 址 解析 请 求 。 

Spoke_A 接收 到 NHRP 重 定向 消息 后 会 发 送 NHRP 地 址 解析 请 求 , 解析 请 求 中 包含 
了 Spoke_A 的 私 网 地 址 192.168.1.1 和 公 网 接口 地 址 1.1.1.1， 还 有 需要 解析 的 私 网 地 址 
192.168.2.1， 如 图 7-5 所 示 。 


表 7-5 Shortcut 有 大 的 NHRP 二 于 解析 请 宁 









私 网 地 直 。 192. 168.1.1 | pr 和 
GE1/0/1 地 址 : 1.1.1.1 公 网 接口 地 址 : ? 


@ Hub 向 Spoke_B 节点 转发 NHRP 地 址 解析 请 求 。 
@ Spoke B 刷新 本 地 NHRP 表 并 返回 NHRP 应 答 消 息 。 


NHRP 地 址 解析 请 求 


Spoke B 首先 从 NHRP 地 址 解析 请 求 中 提取 Spoke_A 的 私 网 网 段 和 公 网 地 址 , 并 将 
该 信息 更 新 到 自己 的 NHRP 映射 表 中 。 同 时 ，Spoke_B 生成 NHRP 地 址 解析 应 答 消 息 返 
回 给 Hub， 然 后 由 Hub 再 回复 给 Spoke A， 应 答 消息 中 包含 Spoke B 的 私 网 网 段 
192.168.2.1/24 和 公 网 地 址 2.2.2.2， 如 表 7-6 所 示 。 


表 7-6 Shortcut ead NHRP ee 






= 192.168.2.1/24 
GE1/0/1 接口 地 址 : 2.2.2.2 

@ Spoke A 与 Spoke B 建立 动态 MGRE 隧道 。 

Spoke_A 收 到 Spoke_B 的 应 答 报 文 后 ， 将 从 应 答 消 息 中 提取 Spoke_B 的 私 网 网 
段 192.168.2.0 和 公 网 地 址 2.2.2.2， 更 新 到 自己 的 NHRP 映射 表 ， 建 立 动态 MGRE 
隧道 。 

当 Spoke A 再 次 收 到 其 下 层 用 户 发 送 给 Spoke_B 的 业务 报 文 时 ，Spoke_A 将 会 通过 
新 建 的 动态 MGRE 隧道 传送 此 报 文 到 Spoke B。 如 图 7-11 所 示 ， 我 们 以 Spoke_A 单 向 
发 送 数 据 给 Spoke_B 为 例 , 介绍 一 下 动态 MGRE 隧道 的 报 文 转发 过 程 。 Spoke_B 返回 给 
Spoke_A 的 反 向 报 文 转发 过 程 同 理 。 

@ Spoke A 再 次 收 到 发 往 Spoke_B 的 业务 报 文 以 后 ， 以 该 报 文 的 目的 网 段 
192.168.2.0 查找 路 由 表 ， 发 现下 一 跳 地 址 10.1.1.3 与 Tunnell 接口 地 址 在 一 个 网 段 ， 据 
此 判断 该 报 文 需要 通过 MGRE 隧道 的 Tunnel 接口 发 送 。 

@ Spoke_A 以 该 报 文 的 目的 网 段 192.168.2.0 查找 NHRP 映射 表 ， 找 到 Spoke B 的 
公 网 接口 地 址 2.2.2.2。 

GO 原始 报 文 进入 Tunnel 接口 后 进行 GRE 封装 ， 封 装 后 的 GRE 报 文 目的 地 址 为 
2.2.2.2。 

@ Spoke_B 收 到 GRE 报 文 后 送 到 Tunnel 接口 进行 解 封装 ， 解 封装 后 的 报 文 恢复 成 
原始 报 文 。 

@ Spoke_B 查找 路 由 表 ， 转 发 解 封装 后 的 报 文 。 


NHRP 地 址 解析 应 答 
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Spoke A 


公 网 IP: 1.1.1.1 
Tunnel IP: 10.1.1.1 


192.168.1.0/24 EE ~ 192.168.2.0/24 





















192.168.2.0/24| 192.168.2.1 






私 网 网 段 


NHRP 
1921682.0/24 Wi 






公 网 接口 (动态 人) S232 动态 MGRE 隧道 
图 7-11 Spoke_A 发 送 数据 给 Spoke_B Shortcut 方式 ) 


为 了 演示 一 下 效果 , 此 处 使 用 Spoke A 下 的 用 户 Ping Spoke_B 下 的 用 户 , 可 以 查看 
Spoke A 上 生成 的 会 话 表 以 及 NHRP 映射 表 。 
。 Spoke A 的 会 话 表 


[Spoke_A] display firewall session table verbose 
Current Total Sessions : 3 
icmp VPN:public --> public 192.168.1.1:44071-->192.168.2.1:2048 
gre VPN:public --> public 1.1.1.1:0-->2.2.2.2:0 
gre VPN:public --> public 1.1.1.1:0-->3.3.3.3:0 


可 以 看 到 Spoke A 上 有 3 条 会 话 。 

第 一 条 ICMP 会 话 就 是 Spoke_A 下 用 户 Ping Spoke_B 下 用 户 生 成 的 会 话 。 

第 二 条 GRE 会 话 是 Spoke A 下 用 户 Ping Spoke B 下 用 户 时 ， 触 发 了 Spoke A 和 
Spoke_B 之 间 建 立 MGRE 隧道 ， 这 条 会 话 就 是 该 MGRE 隧道 对 应 的 会 话 。 

第 三 条 GRE 会 话 是 Spoke A 与 Hub 间 建 立 的 MGRE 隧道 对 应 的 会 话 。 

。 Spoke A 的 NHRP 映射 表 

[Spoke_A] display nhrp entry brief 


current NHRP entry number: $5 

Protocol-addr ”Mask NBMA-addr Nexthop-addr © Type Flag 
192.168.1.0 24 1.1.1.1 10.1.1.1 local Up 
192.168.2.0 24 2.2.2.2 10.1.1.2 dynamic Up 
10.1.1.1 32 :1,1 10.1.1.1 local Up 
10.1.1.2 32 2.22.2 10.1.1.2 dynamic Up 
10.1.1.3 32 3.3.3.3 10.1.13 static UplHub 


从 Spoke A 的 NHRP 映射 表 中 我 们 可 以 看 到 已 经 生成 了 一 条 Protocol-addr .六 
192.168.2.0,NBMA-Addr 为 2.2.2.2, 下 一 跳 为 10.1.1.2 的 表 项 ,这 表明 Spoke A 和 Spoke_B 
之 间 的 MGRE 隧道 已 经 建立 成 功 。 
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7.4 ”Normal 方 式 和 Shortcut 方 式 对 比 


或 许 看 到 这 里 大 家 会 产生 这 样 的 疑问 ， 同 样 是 在 Spoke 与 Spoke 之 间 建 立 VPN 隧 
道 。 为 什么 DSVPN 要 设计 出 两 种 隧道 建立 方式 呢 ? 在 部 署 DSVPN 时 ， 如 何 根 据 实际 
情况 选择 合适 的 隧道 建立 方式 呢 ? 

采用 哪 种 方式 建立 隧道 ， 这 取决 于 DSVPN 的 网 络 规模 。 

。 当 DSVPN 中 的 Spoke 节点 较 少 时 ， 则 会 采用 Normal 方式 。 

。 当 Spoke 节点 较 多 ， 且 Spoke 性 能 不 高 时 ， 则 会 采用 Shortcut 方式 。 

之 所 以 有 这 样 的 差异 , 主要 是 Spoke 节点 的 多 少 会 影响 到 Spoke 中 存放 的 路 由 数量 。 

。 在 Normal 方式 下 ，Spoke 学 习 到 对 端 路 由 的 下 一 跳 是 对 端的 Tunnel 地 址 ， 我 们 

称 这 种 路 由 部 署 方式 为 “全 网 络 路 由 学 习 方式 ”。 
。 在 Shortcut 方式 中 ，Spoke 学 习 到 对 端 路 由 的 下 一 跳 全 部 指向 Hub 的 Tunnel 地 
址 ， 我 们 称 这 种 路 由 部 署 方式 为 “路 由 汇聚 方式 ” 

通过 对 比 不 难 发 现 ， 无 论 是 “全 网 络 路 由 学 习 方 式 (“Normal)” 还 是 “路 由 汇聚 方 
式 〈Shortcut)”， 所 学 习 到 的 路 由 数量 是 一 样 多 的 ， 如 下 所 示 。 

。 Spoke A 的 路 由 (全 网 络 学 习 ) 

192.168.2.0 24 10.1.1.2 

192.168.3.0 24 10.1.1.3 

。 Spoke A 的 路 由 《路 由 汇聚 ) 

192.168.2.0 24 10.1.1.3 

192.168.3.0 24 10.1.1.3 

采用 路 由 汇聚 方式 时 ， 如 果 可 以 对 路 由 进行 聚合 ， 就 可 以 减少 路 由 数量 。 例 如 可 以 
把 路 由 汇聚 方式 下 的 两 条 路 由 聚合 成 如 下 1 条 路 由 。 

192.168.0.0 16 10.1.1.3 

但 并 不 是 说 路 由 汇聚 方式 下 的 路 由 数量 一 定 会 比 全 网 络 路 由 学 习 方 式 下 生成 的 路 由 数 
量 少 ， 能 不 能 减少 路 由 数量 关键 要 看 对 应 的 路 由 协议 在 DSVPN 中 支 不 支持 路 由 聚合 了 。 

目前 ， 华 为 防火 墙 的 DSVPN 支持 两 种 路 由 ， 一 种 是 静态 路 由 ， 另 一 种 是 OSPF 动 
态 路 由 ， 只 有 静态 路 由 在 路 由 汇聚 方式 时 可 以 聚合 路 由 。 不 支持 路 由 聚合 时 ，Spoke 在 
两 种 路 由 部 署 模式 下 学 习 到 的 路 由 数量 一 样 多 , 没 法 做 到 节省 路 由 。 因 此 , 当前 对 于 OSPF 
协议 来 说 无 论 Spoke 数量 多 少 ， 选 择 哪 一 种 隧道 建立 方案 都 一 样 。 


[0 说 明 


其 他 如 RIP、BGP、ISIS 等 动态 路 由 协议 DSVPN 目前 还 不 支持 。 


7.5 私 网 采用 静态 路 由 时 DSVPN 的 配置 


上 面 举例 中 ， 强 叔 是 以 OSPF 路 由 为 例 介 绍 DSVPN 的 配置 方法 。 下 面 强 叔 再 说 一 
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下 使 用 静态 路 由 时 ， 分 别 采 用 全 网 络 路 由 学 习 方 式 (Normal) 和 路 由 汇聚 方式 (Shortcut) 
下 的 DSVPN 配置 方法 。 


。 私 网 采用 静态 路 由 时 ， 选 择 全 网 络 路 由 学 习 方式 (Normal) 时 DSVPN 的 配置 方 
法 ， 如 表 7-7 所 示 。 


表 7-7 | Normal 放生 的 DSVPN “和 路 由 ) 






















intorfhee Tunnel 1 
ip address 10.1.1.1 255.255. 
255.0 

tunnel-protocol gre p2mp 
source GigabitEthernet1/0/1 
nhrp entry 10.1.1.3 3.3.3.3 
register 
ip route-static 192.168.2.0 24 
10.1.1.2 

ip route-static 192.168.3.0 24 
10.1.1.3 


interface Tonnel ] 1 
ip address 10.1.1.2 255. 255. 
255.0 

tunnel-protocol gre p2mp 
source GigabitEthernetl/ 0/1 
nhrp entry 10.1.1.3 3.3.3.3 
register 
ip route-static 192.168.1.0 24 
10.1.1.1 
ip route-static 192.168.3.0 24 
10.1.1.3 










interface Tunnel 1 
ip address 10.1.1.3 255.255. 
255.0 

tunnel-protocol gre p2mp 
source GigabitEthernetl/O/1 


配置 MGRE 





ip route-static 192.168.1.0 24 
10.1.1.1 

ip route-static 192.168.2.0 24 
10.1.1.2 


配置 静态 路 由 






配置 静态 路 由 时 ，Spoke 到 对 端 Spoke 或 Hub 私 网 路 由 的 下 一 跳 为 对 端的 Tunnel 
地 址 。 


。 采用 静态 路 由 时 ， 选 择 路 由 汇聚 方式 时 DSVPN 的 配置 方法 ， 如 表 7-8 所 示 。 
表 7-8 配置 shortcut 方式 的 DSVPN (静态 路 由 ) 











interface Tunnel 1 
ip address 10.1.1.2 255.255. 
255.0 

tunnel-protocol gre p2mp 
source GigabitEthernet1/ 0/1 
nhrp entry 10.1.1.3 3.3.3.3 
register 

nhrp shortcut 





interface Tunnel 1 
ip address 10.1.1.1 255.255. 
255.0 

tunnel-protocol gre p2mp 
source GigabitEthernet1/0/1 
nhrp entry 10.1.1.3 3.3.3.3 
register 

nhrp shortcut 













interface Tunnel 1 

ip address 10.1.1.3 255.255. 

255.0 
tunnel-protocol gre p2mp 
source GigabitEthernet1/ 0/1 
nhrp redirect 






配置 MGRE 







ip route-static 192.168.1.0 24 












配置 (聚合 | ip route-static 192.168.0.0 | ip route-static 192.168.0. 0 | 10.1.1.1 
的 ) 静 态 路 由 | 24 10.1.1.3 24 10.1.1.3 ip route-static 192.168.2.0 24 


10.1.1.2 


可 以 在 Spoke 上 配置 聚合 的 静态 路 由 ,减少 路 由 跳 数 ， 静 态 路 由 的 下 一 跳 为 Hub 
的 Tunnel 口 地 址 。 


7.6 ”DSVPN 的 安全 性 

大 家 知道 ，DSVPN 建立 的 隧道 是 GRE 隧道 ， 而 GRE 隧道 本 身 安全 性 不 足 。 那 DSVPN 
又 是 如 何 处 理 安全 问题 的 呢 ? 在 DSVPN 中 安全 机 制 分 为 了 身份 认证 和 加 密 保护 这 两 个 部 分 。 
7.6.1 身份 认证 

如 何 保证 Hub 能 够 识别 每 一 个 接 入 到 DSVPN 网 络 中 的 Spoke 是 否 合法 呢 ? 这 就 需 


第 7 章 DSVPN 271 


要 在 建立 隧道 之 初 双方 商定 一 个 统一 的 密 钥 。 当 Spoke 向 Hub 注册 时 , Hub 会 比 对 Spoke 
注册 消息 中 的 密 铀 ， 密 钥 一 致 方 可 以 接 入 ， 有 具体 配置 如 表 7-9 所 示 。 


表 7-9 配置 身份 认证 


interface Tunnell 
nhrp authentication shal Test!123 


缺 省 情况 下 ，DSVPN 没有 开启 身份 认证 的 功能 ， 该 功能 需要 手工 配置 。 另 外 ， 隧 
道 双方 的 密 钥 必须 保持 一 致 。 


7.6.2 ”加 密 保 护 


GRE 隧道 自身 没有 安全 加 密 功 能 ， 因 而 在 传输 数据 过 程 中 容易 被 窃取 。 为 了 提高 隧 
道 的 安全 性 ,通常 会 在 DSVPN 中 使 用 IPSec 保护 ,DSVPN 中 使 用 到 的 IPSec 称 之 为 IPSec 
安全 框架 。 

IPSec 安全 框架 是 为 了 简化 GRE over IPSec 场景 中 IPSec 的 配置 而 提出 来 的 一 种 
新 的 方案 ， 其 作用 与 IPSec 安全 策略 类 似 。 在 IKE 方式 的 IPSec 安全 策略 中 ， 要 求 指 
定 IPSec 要 保护 的 数据 流 CACL) 以 及 指定 隧道 对 端 IP 地 址 。 而 IPSec 安全 框架 是 对 
所 有 路 由 到 Tunnel 接口 的 数据 流 进 行 IPSec 保护 ， 无 需 定义 ACL。 并 且 IPSec 安全 
框架 中 不 需要 指定 隧道 对 端的 IP 地 址 ， 这 就 适应 了 DSVPN 中 Spoke 地 址 不 固定 的 
场景 。 

IPSec 安全 框架 的 配置 逻辑 如 图 7-12 所 示 。 






interface Tunnell 
nhrp authentication shal Test!123 


interface Tunnell 
nhrp authentication shal Test!123 








@ 配置 IKE 安全 提议 


@ 配置 IPSec 安全 框架 
@ 应 用 IPSec 安全 框架 


人) 配置 IPSec 安全 提议 


虚线 表示 引用 是 可 选 
实 线 表示 引用 是 必 选 


图 7-12 IPSec 安全 框架 配置 逻辑 
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IPSec 的 配置 步骤 如 下 。 
(1) 创建 IKE 安全 提议 (参见 传统 IPSec 部 分 的 配置 )。 
(2) 创建 IKE 对 等 体 〈 参 见 传 统 IPSec 部 分 的 配置 )。 
与 传统 PSec 中 IKE 对 等 体 所 不 同 的 是 ， 被 IPSec 安全 框架 所 引用 的 IKE 对 等 体 无 
需 配 置 隧道 对 端 人 P 地 址 。 
(3) 创建 一 个 IPSec 安全 框架 。 
[Spoke A] ipsec profile profilel 
(4) 在 IPSec 安全 框架 下 绑 定 引用 对 等 体 。 
[Spoke_A-ipsec-profile-profilel] ike-peer spoke_b 
(5) 在 Tunnel 接口 下 应 用 IPSec 实 艳 症 光 > 


[Spoke. Al] interface tunnel 1 
[Spoke . NTonnell] ice promo proilet 


7.7 ”安全 策略 配置 思路 


最 后 ， 强 叔 介 绍 一 下 DSVPN 的 安全 策略 配置 。 在 DSVPN 中 ， 通 信 双 方 交 互 的 报 
文 类 型 分 为 业务 报 文 、GRE 报 文 、IPSec 报 文 、OSPF 4 种 报 文 〈 采 用 静态 路 由 方式 时 无 
此 类 报 文 )， 需 要 针对 这 4 种 报 文 配置 对 应 的 安全 策略 。 

我 们 先 配 置 一 个 最 宽泛 的 域 间 安全 策略 ， 然 后 通过 分 析 会 话 表 得 到 上 述 4 种 报 文 在 
防火 墙 上 的 走向 ， 如 图 7-13 所 示 。 






GRE+IPSec 隧 道 
PCA 
192.168.1.0/24 Spoke A 


一 -一 > 原始 业务 报 文 ----> GRE 和 IPSec 报 文 -一 和 OSPF 报 文 
图 7-13 防火 墙 上 的 报 文 走向 


以 Spoke A 为 例 ， 需 要 配置 Trust 区 域 ->DMZ 区 域 的 安全 策略 ， 人 允许 原始 业务 报 文 
通过 ; 配置 Local 区 域 ->DMZ 区 域 的 安全 策略 ， 人 允许 OSPF 报 文通 过 ; 配置 Local 区 域 
->Untrust 区 域 的 安全 策略 ， 人 允许 GRE 报 文 和 IPSec 的 ISAKMP 协商 报 文 通过 ; 配置 
Untrust 区 域 ->Local 区 域 的 安全 策略 ， 人 允许 IPSec 的 ESP 报 文通 过 。 

由 报 文 走向 可 以 得 出 表 7-10 所 示 安 全 策略 匹配 条 件 ， 反 向 报 文 的 走向 相反 ， 不 再 
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表 7-10 Spoke_A 的 安全 策略 匹配 条 件 











192.168.1.0/24 
10.1.1.0/24 


PC A 访问 
其 他 用 户 






*: 此 处 的 应 用 与 具体 的 业务 类 型 有 关 ， 可 以 根据 实际 情况 配置 ， 如 tcp、udp、icmp 等 


[0 说 明 

如 果 Spoke 节点 动态 获得 的 是 私 网 卫 地 址 ， 经 过 DSVPN 网 络 中 的 NAT 设备 转换 为 
公 网 卫 地 址 ,这 种 情况 下 还 需要 针对 IPSec 配置 UDP+4500 端口 的 安全 策略 ， 具体 的 
配置 方法 请 参考 “第 6 章 IPSec VPN” 中 的 内 容 。 


Spoke A 上 反 向 流量 对 应 的 安全 策略 匹配 条 件 ， 以 及 其 他 节点 的 安全 策略 匹配 条 件 
可 以 参照 上 表 得 出 ， 不 再 详 述 。 
强 叔 提问 


1. DSVPN 中 每 个 节点 的 Tunnel 接口 可 以 不 在 一 个 网 段 么 ? 为 什么 ? 
2. DSVPN 的 加 密 靠 IPSec，IPSec 是 如 何 能 够 加 密 动 态 隧道 的 ? 
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8.1 SSL VPN 原理 


8.1.1 SSL VPN 的 优势 


随 着 互联 网 不 可 预测 的 高 速 发 展 ， 如 今 可 谓 已 “无 处 不 网 络 ， 随 时 可 接 入 ” PC、 
笔记 本 人 人 具备 但 已 被 嫌弃 厚重 不 便 ， 人 人 手持 智能 手机 或 平板 随时 随地 上 网 。 时 代 始 
终 不 断 变 迁 ， 科 技 始终 不 断 进 步 ， 不 变 的 是 科技 以 人 为 本 的 理念 一 一 人 们 追求 的 是 更 便 
捷 、 更 简单 、 更 安全 。 在 远程 接 入 、 访问 内 网 这 一 具体 应 用 场景 中 , 传统 VPN 巨头 IPSec 
也 暴露 出 自身 一 些 短 板 。 
。 组 网 不 灵活 。 建 立 IPSec VPN， 如 果 增 加 设备 或 调整 用 户 的 IPSec 策略 ， 需 要 调 
整 原 有 IPSec 配置 。 

。 需要 安装 客户 端 软件 ， 导 致 在 兼容 性 、 部 署 和 维护 方面 都 比较 麻烦 。 

。 对 用 户 的 访问 控制 不 够 严格 ， 只 能 进行 网 络 层 的 控制 ， 无 法 进行 细 粒 度 的 、 应 用 
层 资 源 的 访问 控制 。 

所 谓 车 到 山 前 必 有 路 ， 有 问题 就 会 有 解决 办 法 , 一 种 新 的 技术 开始 登 上 历史 舞台 一 一 
SSL VPN 作为 新 型 的 轻 量 级 远程 接 入 方案 ， 有 效 地 解决 了 上 述 问 题 ， 在 实际 远程 接 入 方 
案 中 应 用 非常 广泛 。 

。 SSL VPN 工作 在 传输 层 和 应 用 层 之 间 ， 不 会 改变 他 报 文 头 和 TCP 报 文 头 ， 不 会 

影响 原 有 网 络 拓扑 。 如 果 网 络 中 部 署 了 防火 墙 ， 只 需 放行 传统 的 HTTPS (443) 


端口 。 
。 SSL VPN 基于 B/S 架构 ， 无 需 安装 客户 端 ， 只 需要 使 用 普通 的 浏览 器 进行 访问 ， 
方便 易 用 。 
[0 说 明 


虽然 无 需 另 外 安装 客户 端 , 但 SSL VPN 特性 对 浏览 器 和 操作 系统 类 型 、 版 本 有 明确 要 
求 ， 具 体 要 求 请 查阅 产品 手册 。 


。 更 重要 的 是 , 相对 于 IPSec 网 络 层 的 控制 ,SSL VPN 的 所 有 访问 控制 都 是 基于 应 
用 层 ， 其 细 分 程度 可 以 达到 URL 或 文件 级 别 ， 可 以 大 大 提高 企业 远程 接 入 的 安 
全 级 别 。 

下 面 强 叔 就 为 大 家 带 来 详细 的 SSL VPN 技术 介绍 。 


8.1.2 SSLVPN 的 应 用 场景 


所 谓 SSL VPN 技术 ， 实 际 是 VPN 设备 厂商 创造 的 名 词 ， 指 的 是 远程 接 入 用 户 利用 
标准 Web 浏览 器 内 帐 的 SSL (Security Socket Layer， 安 全 套 接 层 ) 封包 处 理 功 能 ， 连 接 
企业 内 部 的 SSL VPN 服务 器 ， 然 后 SSL VPN 服务 器 可 以 将 报 文 转 向 给 特定 的 内 部 服务 
器 ， 从 而 使 得 远程 接 入 用 户 在 通过 验证 后 ， 可 访问 企业 内 网 特定 的 服务 器 资源 。 其 中 ， 
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远程 接 入 用 户 与 SSL VPN 服务 器 之 间 ， 采 用 标准 的 SSL 协议 对 传输 的 数据 包 进行 加 密 ， 
这 相当 于 远程 接 入 用 户 与 SSL VPN 服务 器 之 间 建 立 起 隧道 。 

一 般 来 说 ，SSL VPN 服务 器 通常 部 署 在 企业 出 口 防火 墙 之 后 ，SSL VPN 典型 应 用 场 
景 如 图 8-1 所 示 。 


SSL VPN 服务 器 





企业 出 口 防火 墙 
8-1 SSLVPN 典型 应 用 场景 


[0 说 明 


远程 接 入 用 户 以 下 简称 远程 用 户 。 


华为 USG2000/5000/6000 系列 防火 墙 可 以 直接 作为 SSL VPN 服务 器 , 节省 网 络 建设 
和 管理 成 本 。 顺 便 打 个 广告 ， 华 为 亦 推出 了 专业 的 SVN2000 和 SVN5000 系列 SSL VPN 
服务 器 产品 ， 可 以 提供 支持 更 多 用 户 数 、 支 持 更 多 应 用 场景 的 SSL VPN 解决 方案 。 

本 节 强 叔 主要 介绍 远程 用 户 与 SSL VPN 服务 器 建立 连接 ， 成 功 登 录 SSL VPN 服务 
器 的 过 程 。 而 SSL VPN 服务 器 如 何 将 远程 用 户 的 请 求 转向 给 各 内 部 服务 器 , 将 在 后 续 几 
节 中 介绍 。 

在 开始 枯燥 的 原理 讲解 之 前 ， 强 叔 先 给 大 家 演示 下 登录 SSL VPN 服务 器 的 步骤 , 直 
观感 受 下 SSL VPN 的 便捷 。 

远程 用 户 访问 SSL VPN 服务 器 的 典型 步骤 非常 简单 ， 如 表 8-1 所 示 。 


表 8-1 远程 用 户 访问 SSL VPN 服务 器 步骤 


da 
打开 浏览 器 ， 输 入 https://SSL VPN 服务 器 的 地 址 :端口 或 https:// 域 名 ， 发 起 连接 





Web 页 面 可 能 会 提示 即将 访问 的 网 站 安全 证 书 有 问题 ， 我 们 选择 “继续 浏览 该 网 站 ” 


@ 此 网 站 的 安全 证 书 有 问题. 
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( 续 表 ) 
步骤 具体 描述 
成 功 出 现 SSL VPN 服务 器 登录 界面 ， 界 面 右 侧 提示 输入 用 户 名 /密码 


四 儿 sstvpnN 










3 
HUAVVEI 
输入 预先 从 企业 网 络 管理 员 处 获得 的 用 户 名 /密码 ， 成 功 登 录 SSL VPN 服务 器 ， 进 入 访问 内 
网 资源 页 面 
< 
4 


Wwelcome 





20 ~ 条 人 页 当前 页 码 : 1( 共 1 页 ) 
茵 Wwebproxy 
以 webl 


这 几 个 步 聚 就 能 保证 SSL VPN 建立 \ 保证 访问 安全 ? 为 什么 有 提示 “访问 的 网 址 安 
全 证 书 有 问题 ”? 大 家 心中 可 能 飞 过 了 无 数 问号 。 带 着 这 些 疑 问 ， 我 们 就 研究 一 下 在 这 
简短 的 几 个 步骤 中 ， 远 程 用 户 是 如 何 与 SSL VPN 服务 器 进行 报 文 交互 的 。 

强 叔 认为 这 其 中 有 两 个 关键 之 处 ， 也 是 SSL VPN 技术 两 个 基本 安全 性 的 体现 。 

(1) 传输 过 程 安全 

在 上 文 SSL VPN 定义 中 ， 我 们 提 到 ， 远 程 用 户 与 SSL VPN 服务 器 之 间 ， 采 用 标准 
的 SSL 协议 对 传输 的 数据 包 进 行 加 密 。 那 么 从 用 户 打开 浏览 器 、 访 问 SSL VPN 服务 器 
地 址 开始 ，SSL 协议 就 开始 运行 。 为 此 我 们 要 详细 地 研究 下 SSL 协议 的 运行 机 制 。 

(2) 用 户 身 份 安全 

在 上 文 演示 登录 SSL VPN 服务 器 时 , 远程 用 户 访 问 SSL VPN 服务 器 登录 界面 , SSL VPN 
服务 器 要 求 输入 用 户 名 /密码 。 这 实际 是 SSL VPN 服务 器 要 求 对 用 户 身份 进行 认证 。 SSL VPN 
服务 器 往往 支持 多 种 用 户 认证 方式 ， 来 保证 访问 的 安全 性 、 合 法 性 。 华 为 防火 墙 支持 用 户 名 / 
密码 的 本 地 认证 、 服 务 器 认证 、 证 书 认 证 、 用 户 名 /密码 + 证 书 双 重 因素 认证 等 多 种 认证 方式 。 


8.1.3 SSL 协议 的 运行 机 制 | 


SSL 是 一 种 在 客户 端 和 服务 器 之 间 建 立 安 全 通道 的 协议 ， 是 Netscape 公司 提出 的 基 
于 Web 应 用 的 安全 协议 ， 它 为 基于 TCP/IP 连接 的 应 用 程序 协议 (如 HTTP、Telenet 和 
FTP 等 ) 提供 数据 加 密 、 服 务 器 认证 、 消 息 完 整 性 以 及 可 选 的 客户 端 认证 ， 也 就 是 说 ， 
SSL 协议 具备 如 下 特点 。 

。 所 有 要 传输 的 数据 信息 都 是 加 密 传输 ， 第 三 方 无 法 窃听 。 
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。 具有 校 验 机 制 ， 信 息 一 旦 被 算 改 ， 通 信 双 方 会 立刻 发 现 。 

。 配备 身份 证 书 ， 防 止 身份 被 冒充 。 

SSL 协议 自 1994 年 被 提出 以 来 一 直 在 不 断 发 展 。Netscape 公司 发 布 的 SSL2.0 和 
SSL3.0 版 本 得 到 了 大 规模 应 用 。 而 后 ， 互 联网 标准 化 组 织 基于 SSL3.0 版 本 推出 了 TLS1.0 
协议 (又 称 SSL3.1)， 之 后 又 推出 了 TLS1.1 和 TLS1.2 版 本 。 当 前 ， 主 流 浏览 器 大 多 已 
实现 了 对 TLS1.2 的 支持 。 华 为 防火 墙 支持 SSL2.0、SSL3.0 和 TLS1.0 版 本 。 

SSL 协议 结构 分 为 两 层 ， 底 层 为 SSL 记录 协议 ， 上 层 为 SSL 握手 协议 、SSL 密码 变 
化 协议 、SSL 警告 协议 ， 各 协议 的 作用 如 图 8-2 所 示 。 















人 SSL 人 的 这 用 于 在 实际 的 数据 传输 开始 前 ， 通 信 双 方 进行 身 
| 份 证 、 协 商 加 密 算法 、 交 换 加 密 密 钥 等 。 相 当 于 完成 所 有 传输 准 
各 工作 ， 比较 复杂 
SSL 密码 变化 协议 : 这 个 协议 只 包含 一 条 消息 
(Change Cipher Spec)。 客 户 端 和 服务 器 双方 都 可 以 发 送 ， 目 的 是 
通知 对 方 后 面 发 送 的 数据 将 启用 新 协商 的 算法 和 密 钥 。 
$ SSL 警告 协议 : 用 于 传递 SSL 的 相关 警告 。 如 果 在 通信 过 程 中 
某 一 方 发 现任 何 异常 ， 就 需要 给 对 方 发 送 一 条 警示 消息 通告 。 
人 SSL 记录 协议 : 建立 在 可 靠 的 传输 协议 〈 如 TCP) 之 上 ， 负 责 把 
上 层 的 数据 分 块 进行 压缩 ， 并 在 尾部 加 HMAC《〈 保 证 数据 的 完整 
性 )， 最 后 使 用 握手 协议 协商 好 的 保密 参数 加 密 。 


图 8-2 SSL 协议 结构 及 各 部 分 作用 


可 以 看 到 ，SSL 连接 的 建立 ， 主 要 依靠 SSL 握手 协议 ， 下 面 我 们 来 详细 研究 SSL 握 
手 协议 。 

简短 一 句 话 就 可 以 概括 SSL 握手 协议 的 基本 设计 思路 : 采用 公 钥 加 密 算法 进行 密 文 
传输 。 也 就 是 说 ,服务 器 端 将 其 公 钥 告诉 客户 端 , 然后 客户 端 用 服务 器 的 公 钥 加 密 信息 ， 
服务 器 收 到 密 文 后 ， 用 自己 的 私 钥 解密 。 
公 钥 加 密 算法 ， 又 称 非 对 称 加 密 算 法 。 其 工作 原理 如 下 。 
(1) 客户 端 A 要 向 服务 器 B 发 送信 息 ，B 要 产生 一 对 用 于 加 密 和 解密 的 公 钥 和 私 钥 。 
(2) B 的 私 钥 自 己 保密 ，B 的 公 钥 告诉 A。 
(3) A 要 给 B 发 送信 息 时 ， 用 B 的 公 钥 加 密 信 息 ， 因 为 A 知道 B 的 公 钥 。 
(4) B 收 到 这 个 信息 后 ， 用 自己 的 私 钥 解 密 。 其 他 所 有 收 到 这 个 报 文 的 人 都 无 法 解 
因 只 有 B 才 有 自己 的 私 钥 。 
(5) B 要 给 A 发 送 消 息 时 ， 亦 同 理 用 A 的 公 钥 加 密 ，A 用 自己 的 私 钥 解密 。 
这 个 设计 思路 有 两 个 问题 ， 需 要 继续 细 化 解决 。 
(1) 服务 器 将 其 公 钥 告诉 客户 端 时 ， 如 何 保证 该 公 钥 不 被 算 改 ? 
解决 办 法 : 引入 数字 证 书 。 将 服务 器 公 钥 放 入 服务 器 证 书 中 ， 由 服务 器 将 证 书 传 给 
客户 端 。 只 要 证 书 可 信 ， 公 钥 就 可 信 。 

(2) 公 钥 加 密 算 法 安全 性 高 ， 但 也 由 于 两 端 各 自用 私 钥 解密 ， 导 致 算法 较 复 杂 、 加 
解密 计算 量 大 ， 如 何 提升 效率 ? 

解决 办 法 : 引入 一 个 新 的 “会 话 密 钥 ”。 客 户 端 与 服务 器 采用 公 钥 加 密 算法 协商 出 
此 “会 话 密 钥 ”， 而 后 续 的 数据 报 文 都 使 用 此 “会 话 密 钥 ”进行 加 密 和 解密 〈( 即 对 称 加密 
算法 )。 对 称 加 密 算法 运算 速度 很 快 , 这 样 就 大 大 提升 了 加 解密 运算 效率 。 还 得 哆 唆 一 下 ， 





虹 
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“会 话 密 钥 ”实际 就 是 一 个 服务 器 和 客户 端 共享 的 密 钥 ， 叫 “会 话 密 钥 ”是 因为 引入 了 会 
话 Session 的 概念 ， 就 是 基于 TCP 的 每 个 SSL 连接 与 一 个 会 话 相 关联 , 会 话 由 SSL 握手 
协议 来 创建 ， 为 每 个 连接 提供 完整 的 传输 加 密 ， 即 握手 过 程 包含 在 会 话 之 中 。 

既然 SSL 握手 协议 的 设计 已 经 解决 了 关键 问题 ， 下 面 就 要 落实 具体 设计 细节 了 : 通 
过 服务 器 与 客户 端的 4 次 通信 来 实现 上 述 设 计 思 路 ， 从 而 能 够 保证 握手 阶段 之 后 能 够 进 
行 高 效 、 安 全 的 加 密 报 文 传输 。 

SSL 握手 涉及 的 4 次 通信 具体 内 容 如 图 8-3 所 示 。 需 要 注意 的 是 ， 此 阶段 的 所 有 通 
信 都 是 明文 的 。 


SSL VPN Client SSL VPN Server 





图 8-3 SSL 握手 过 程 


Q 客户 端 发 出 请 求 〈Client Hello)。 客 户 端 (通常 是 浏览 器 ) 首先 向 服务 器 发 出 加 
密 通 信 的 请 求 ， 此 步 主要 向 服务 器 提供 以 下 信息 。 

a. 支持 的 协议 版 本 ， 如 TLS 1.0 版 。 ? 

b. 一 个 客户 端 生成 的 随机 数 ， 稍 后 用 于 生成 “会 话 密 钥 ”。 

@ 服务 器 回应 (Server Hello )。 服 务 器 收 到 客户 端 请 求 后 ， 向 客户 端 发 出 回应 ， 此 
步 包 含 以 下 信息 。 

a. 确认 使 用 的 加 密 通信 协议 版 本 ， 如 TLS 1.0 版 本 。 如 果 浏 览 器 与 服务 器 支持 的 版 
本 不 一 致 ， 则 服务 器 关闭 加 密 通信 。 

b. 一 个 服务 器 生成 的 随机 数 ， 稍 后 用 于 生成 “会 话 密 钥 ”。 
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c. 确认 加 密 套 件 。 
d. 服务 器 证 书 ， 包 含 服务 器 公 钥 。 


[0 说 明 
SSL 握手 协议 支持 客户 端 与 服务 器 双向 认证 。 如 果 服 务 器 需要 验证 客户 端 ， 服 务 器 就 
需要 在 这 一 步 发 出 对 客户 端的 证 书 验 证 请 求 。 


@) 客户 端 回应 。 客 户 端 收 到 服务 器 回应 以 后 ， 首 先 验证 服务 器 证 书 。 如 果 证 书 不 
是 可 信 机 构 颁 布 ， 或 者 证 书 中 的 域名 与 实际 域名 不 一 致 ， 或 者 证 书 已 经 过 期 ， 就 会 显示 
一 个 警告 ， 由 其 选择 是 否 还 要 继续 通信 。 如 果 证 书 没有 问题 ， 客 户 端 就 会 从 证 书 中 取出 
服务 器 的 公 钥 。 然 后 向 服务 器 发 送 下 面 三 项 信息 。 

a. 一 个 随机 数 pre-master-key， 用 服务 器 公 钥 加 密 ， 防 止 被 窃听 ， 稍 后 用 于 生成 “会 
话 密 钥 ”。 此 时 客户 端 已 经 拥有 三 个 随机 数 ， 会 计算 出 本 次 会 话 所 用 的 “会 话 密 钥 ”。 

b. 编码 改变 通知 ， 表 示 随 后 信息 都 将 用 双方 商定 的 加 密 方法 和 密 钥 来 发 送 。 

c. 客户 端 握手 结束 通知 ， 表 示 客 户 端的 握手 阶段 已 经 结束 。 这 一 项 同时 也 是 前 面 发 
送 的 所 有 内 容 的 HASH 值 ， 用 来 供 服务 器 校 验 。 

@ 服务 器 最 后 回应 。 服 务 器 收 到 客户 端的 随机 数 pre-master key 之 后 ， 计 算 生 成 本 
次 会 话 所 用 的 “会 话 密 钥 ”( 与 客户 端的 计算 方法 、 计 算 结 果 相 同 )。 然 后 向 客户 端 最 后 
发 送 下 面 信息 。 

a. 编码 改变 通知 ， 表 示 随 后 信息 都 将 用 双方 商定 的 加 密 方 法 和 密 钥 来 发 送 。 

b. 服务 器 握手 结束 通知 ， 表 示 服 务 器 的 握手 阶段 。 

大 家 在 看 完 SSL 握手 协议 4 次 通信 的 具体 内 容 之 后 ， 估 计 又 会 产生 几 个 问题 ， 强 叔 
已 在 此 恭候 。 

(1) 当 随 机 数 pre-master-key 出 现时 ， 客 户 端 和 服务 器 已 经 同时 有 了 三 个 随机 数 ， 
接着 双方 就 用 事先 商定 的 加 密 方法 , 各 自生 成 本 次 会 话 所 用 的 同一 把 “会 话 密 钥 ”。 为 什 
么 要 用 三 个 随机 数 来 生成 “会 话 密 钥 ” 呢 ? 

答 : 对 于 公 钥 加 密 算法 来 说 ， 通 过 三 个 随机 数 最 终 得 出 一 个 对 称 密 钥 ， 显 然 是 为 了 
增强 安全 性 。pre-master-key 之 所 以 存在 ， 是 因为 SSL 协议 不 信任 每 个 主机 都 能 产生 “ 完 
全 随机 ”的 随机 数 。 而 如 果 随 机 数 不 随 机 ， 就 有 可 能 被 猜测 出 来 ， 安 全 性 就 存在 问题 。 
而 三 个 伪 随 机 数 凑 在 一 起 就 十 分 接近 随机 了 。 

(2) SSL 握手 协议 第 @ 次 通信 中 : 服务 器 回应 (Sever Hello) 时 发 出 了 自己 的 证 书 ， 
而 客户 端 马 上 会 对 服务 器 的 证 书 进 行 验证 ， 也 就 是 说 客户 端 验 证 服务 器 的 合法 性 。 这 是 
否 与 演示 登录 SSL VPN 服务 器 时 ， 表 8-1 中 第 2 步骤 中 遇 到 的 一 个 警告 一 一 “此 网 站 的 
安全 证 书 有 问题 ”有 关联 ? 

答 ; 其 实 从 表 8-1 中 第 1 步骤 客户 端 (远程 用 户 ) 通过 HTTPS 访问 SSL VPN 服务 
器 起 , SSL 协议 已 开始 运行 。 第 2 步骤 的 提示 恰恰 与 SSL 握手 协议 的 第 @ 次 通信 相对 应 : 
此 时 服务 器 将 自己 的 本 地 证 书 传 给 了 客户 端 ， 客 户 端 要 对 服务 器 的 证 书 进行 认证 。 提 示 
警告 ， 说 明 客户 端 认 为 该 服务 器 证 书 不 可 信 。 如 果 平 时 我 们 访问 网 银 等 界面 出 现 此 提示 
时 ， 要 提高 警惕 ， 防 止 误 入 钓鱼 网 站 。 而 此 时 ， 我 们 选择 强制 相信 该 网 站 。 
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提示 安全 证 书 有 问题 的 警告 可 以 消除 ， 一 个 办 法 就 是 在 提示 输入 “登录 SSL 服 
务 器 的 用 户 名 /密码 ”的 界面 上 上， 下载 并 安装 证 书 。 

下 载 安装 的 是 什么 证 书 ? 正 是 为 服务 器 颁发 本 地 证 书 的 CA 机 构 自 身 的 证 书 ( 称 
为 服务 器 CA 证 书 )。 客 户 端 安装 了 服务 器 CA 证 书 ， 则 在 收 到 服务 器 证 书 时 会 认定 
该 证 书 合 法 一 一 因为 是 由 自己 已 知 的 CA 机 构 颁 发 的 。 

当然 ， 客 户 端 验证 服务 器 本 地 证 书 是 否 合法 还 有 两 个 附加 条 件 ， 也 就 是 说 ， 如 
下 3 个 条 件 完全 满足 才 会 确认 服务 器 证 书 合法 。 

信 ”证 书 在 有 效 期 内 。 

仿 ”证 书 中 的 关键 字段 CN 与 该 SSL VPN 服务 器 的 地 址 或 域名 相 一 致 〈 即 该 证 
书 确 为 颁发 给 该 服务 器 的 身份 证 ， 不 是 冒 用 别人 的 )。 

信 ”证 书 是 否 是 由 自己 已 知 的 CA 机 构 颁 发 的 。 





至 此 ， 强 叔 将 SSL 握手 协议 的 运行 机 制 讲 解 完 毕 ， 喘 口气 ， 咱 们 还 得 一 切 从 实际 出 
发 ， 用 实践 这 个 唯一 标准 来 检验 真理 。 

< 步骤 1> 以 防火 墙 作为 SSL VPN 服务 器 ， 在 防火 墙 上 完成 相关 配置 。 

SSL 服务 器 的 功能 在 防火 墙 上 被 称 为 虚拟 网 关 。 虚 拟 网 关 的 地 址 /域名 即 为 SSL VPN 
服务 器 的 地 址 /域名 。 

(1) 配置 虚拟 网 关 ， 启 用 SSL VPN 服务 器 功能 ， 配 置 服务 器 地 址 等 。 

《2) 配置 认证 授权 方式 为 本 地 认证 ， 并 创建 用 户 包括 配置 用 户 名 和 密码 。 

(3) 配置 安全 策略 ， 保 证 网 络 互通 。 安 全 策略 的 配置 方法 我 们 将 在 “8.7 配置 安全 
策略 ”中 介绍 。 

< 步骤 2> 按 本 文 开篇 演示 的 客户 端 登录 SSL VPN 服务 器 步骤 ， 使 用 配置 好 的 用 户 名 / 
密码 ， 登 录 SSL VPN 服务 器 。 

(1) 客户 端 10.108.84.93 以 正 浏览 器 向 防火 墙 的 虚拟 网 关 https://10.174.64.61 发 起 链接 
请 求 。 如 下 图 所 示 ，No.21-No.29 展示 了 完 SSL 握手 的 4 次 通信 过 程 ， 至 No.29 服务 器 回应 
Server Finished Message《〈 已 被 加 密 ， 提 示 为 加 密 的 握手 消息 ) 后 ， 对 应 登录 到 提示 安全 证 书 
有 问题 的 警告 界面 。 此 时 客户 端 与 服务 器 实际 并 未 开始 正常 通信 ， 而 是 在 SSL 握手 阶段 ， 
客户 端 验证 服务 器 不 合法 ， 在 其 Web 界面 提示 用 户 是 否 继续 浏览 该 网 站 ， 如 下 所 示 。 






















rr 2174. 64- [3 ~ 
23 12.204754000 10.174.64.61 10.108. 84.93 TiSvi 514 es mie 
24 12.204904000 10.174.64,61 30. 408,.84.93 TLSvi S29 Certificate 
26 12,205857000 10.108,84.93 10.174.54.61 380 Client Ex: SF Change Cipher Spec, Encrypted Handshake Messagel 
7 12,294025000 30. md 站 2 

a 0, E08. S493 TL Sv ds hak 


21 12- 152928000 10, 105 $4.93 









芭 多 二 > 玉生 
. 0 Er Ep 0. 
。 4 64.61 .408,84 314 Server He eo 
, .54.61 10.108.84 svi $29 Certific: 
108 45.73953 4 ,4.93 10.174.64.61 TL5v1 380 Client Ey xchange, Change Cipher Spec, Encrypted Handshake Message 
109 45.823791000 10.174.64.61 30.105,54.93 fiSvi 60 Change Cipher Spec 
1X1 46.083392000 10.174.64, 54 10,408.84.93 TLSvL 107 Encrypted Mandshake Wessage 
pe 436.141764000 10. 206. 34.93 10.174.64.61 TLSvi ,29 client Hello 
上 FANN A ks NT OR Fa 9 TS 4 ervar Hoy ln 
[a i 107 bytes es cortired (6 Dil) on terfice 6 
‘SS hernet IT, Src: IETF NRID_as (00:00:5e:00:01:a9), Dst: RealtekSs 98:29:04 (00:e0:4c:98:29:04) 
| 本 Internet protocol on 竹 A 10.174,.54.61 (10.174.64.61), Ost: 10.108.84.93 (10. 
|& Transwission Control Protoco], Src Ports https (443), Det Port: 57814 (5 7814), Sea: 1942, Ack: 399, Len: 53 


1 5 Secure Sockets Layer 
】 TLSvl Record i Mandshake Protoogls A Handshake 0 


(2) 强制 信任 ， 选 择 “ 继 续 浏 览 该 网 站 ” 从 No.103 起 客户 端 要 求 使 用 新 会 话 ， 重 
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新 发 起 SSL 握手 协议 。 握 手 完成 之 后 ， 开 始 正常 的 加 密 通信 ， 直 至 用 户 浏览 器 上 成 功 加 
A 如 下 所 示 。 


te 


21 12, 152928000 10, 1208 34.95 10. 74。 pr 二 ci Hello 
3 12. 2OA784000 10.174.64.61 00.108.84.93 1514 Server Hello 
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2 380 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Hessag 
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Sacure eckers Layer 3 
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(3) 输入 用 户 名 /密码 ， 从 No.1561 起 继续 发 起 SSL 握手 协议 , 经 过 4 次 通信 协商 出 
“会 话 密 钥 ”， 从 携带 用 户 名 /密码 的 报 文 起 所 有 用 户 与 服务 器 之 前 的 数据 被 加 密 (显示 为 
aio Data) 发 送 给 服务 器 ， 如 下 所 示 。 
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Frame 1163: 803 bytes on wire (6424 bi 803 bytes captured (6424 bits) on interface 0 

ee SETF-VRRP-VRYEO AS (O00:00:5e:00:01739), Dst: KealtekSs S98:29:04 《0076014C598323504》 

Tnternet Protocol Version 4, Src: 10.174.64.61 (10.174.64,61}, Dst: 10.108,84.93 (10,108,84.93) 

Tranemission Control Protocol, Sre Port: https (C443), Det Port: ST7RIS (57818), Sed: 102640, Ack; 2602, Len: 749 
[3 Rensserbied TCP Segments (3669 bytes); S1259(1460), #1160(1460), 21163(749)} 
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8.1.4 ”用 户 身份 认证 


为 了 保证 SSL VPN 远程 用 户 的 合法 性 ， 提 升 系统 安全 性 ，SSL VPN 服务 器 往往 文 
持 多 种 认证 方式 ， 上 文 我 们 以 配置 并 存储 在 防火 墙 上 的 用 户 名 /密码 为 例 ， 这 是 最 基本 、 
最 简单 的 认证 方式 。 华 为 防火 墙 支持 以 下 认证 方式 。 
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。 用 户 名 /密码 的 本 地 认证 : 指 将 用 户 名 /密码 在 防火 墙 上 配置 并 存储 ， 用 户 输入 与 
之 匹配 的 用 户 名 /密码 即 可 成 功 登 录 。 
。 用 户 名 /密码 的 服务 器 认证 : 指 将 用 户 名 /密码 存储 在 专门 的 第 三 方 认证 服务 器 上 ， 
用 户 输 入 用 户 名 /密码 后 ， 防 火 墙 将 其 转 至 认证 服务 器 认证 。 当 前 支持 的 认证 服 
务 器 类 型 包括 : RADIUS、HWTACACS、SecurID、AD、LDAP。 
。 证 书 匿 名 认证 : 指 用 户 的 客户 端 配备 客户 端 证 书 , 防火 墙 通 过 验证 客户 端的 证 书 
来 认证 用 户 身 份 。 
。 证 书 挑战 认证 : 指 服 务 器 通过 用 户 名 /密码 + 客户 端 证 书 双 重 因素 认证 用 户 身 份 。 
可 以 看 出 ， 此 种 方式 是 最 安全 的 。 
一 单 用 客户 端 证 书 认 证 ， 当 客户 端 丢 失 或 被 非法 使 用 时 就 无 法 保证 安全 。 
一 单 用 用 户 名 /密码 认证 ， 当 使 用 不 同 客 户 端 时 ， 客 户 端 本 身 可 能 存在 安全 隐患 。 
双重 因素 认证 方式 , 保证 了 指定 用 户 、 使 用 指定 客户 端 登录 SSL VPN 服务 器 ,进而 
合法 访问 内 网 资源 。 
用 户 名 /密码 的 本 地 认证 和 第 三 方 服务 器 认证 ， 是 最 为 常见 的 用 户 认证 方式 ， 此 处 不 
再 歼 述 。 下 面 强 叔 介绍 下 证 书 认 证 。 
证 书 挑战 认证 比 证 书 匿名 认证 多 了 一 次 用 户 名 /密码 认证 , 原理 基本 一 致 , 可 以 一 并 讲解 。 
防火 墙 (SSL VPN 服务 器 ) 通过 验证 客户 端的 证 书 来 认证 用 户 身份 ,流程 如 图 8-4 所 示 。 





挑战 密码 认证 : 
证 书 中 用 户 字 段 








防火 墙 通过 验证 客户 端的 证 书 来 认证 用 户 身份 ， 流 程 如 下 。 

@ 用 户 、 防 火 墙 分 别 导入 由 同一 CA 机 构 颁 发 的 客户 端 证 书 和 客户 端 CA 证 书 。 

@ 用 户 ( 客 户 端 ) 将 自己 的 证 书 发 给 防火 墙 ， 防 火 墙 对 该 证 书 进行 认证 。 满 足以 
下 几 个 条 件 ， 则 认证 通过 。 

。 客户 端 证 书 与 防火 墙 上 导入 的 客户 端 CA 证 书 由 同一 CA 颁发 。 
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。 客户 端 证 书 在 有 效 期 内 。 

。 客户 端 证 书 中 的 用 户 过 滤 字 段 是 防火 墙 上 已 经 配置 并 存储 的 用 户 名 。 例如 , 客户 
端 证 书 的 用 户 过 滤 字 段 CN=user000019， 那 么 防火 墙 上 已 经 配置 对 应 的 用 户 名 
user000019， 表 明 这 是 颁发 给 user000019 的 客户 端 证 书 。 


此 处 的 证 书 认证 通过 条 件 是 否 很 眼熟 ? 其 实 与 上 文 SSL 握手 协议 的 运行 机 制 中 
提 到 的 “客户 端 验 证 服务 器 证 书 是 否 合 法 ”原则 一 致 ， 只 不 过 此 处 是 “服务 器 (防火 
墙 ) 验证 客户 端 〈 用 户 ) 证 书 是 否 合法 ”。 

也 就 是 说 , SSL VPN 用 到 了 两 套 证 书 ,一 套 是 服务 器 本 地 证 书 和 服务 器 CA 证 书 ; 
一 套 是 客户 端 证 书 和 客户 端 CA 证 书 。 两 套 证 书 分 别 用 于 不 同 阶 段 。 

值得 注意 的 是 ， 本 阶段 用 户 身份 认证 ， 已 经 在 SSL 握手 协议 4 次 通信 之 后 ， 服 
务 器 与 客户 端 已 经 协商 出 “会 话 密 钥 ” 用 户 认证 的 信息 ， 包 括 用 户 名 /密码 、 客 户 端 
证 书 等 均 为 采用 密 文 传输 的 数据 信息 。 





@ 用 户 通过 防火 墙 的 身份 认证 后 ， 会 成 功 登录 资源 界面 ， 可 以 访问 内 网 的 指定 资源 。 

前 面 强 叔 已 经 展示 了 以 用 户 名 /密码 登录 防火 墙 虚 拟 网 关 时 对 SSL 握手 阶段 的 抓 包 ， 
下 面 我 们 将 认证 方式 改 为 证 书 匿名 认证 ， 看 一 下 在 加 密 数据 传输 过 程 中 服务 器 是 如 何 认 
证 客户 端 证 书 的 。 

在 防火 墙 虚拟 网 关 界 面 ， 配 置 好 客户 端 要 使 用 的 证 书后 ， 抓 包 信息 如 下 。 从 信息 中 
无 法 分 辨 到 底 是 什么 报 文 ， 于 是 我 们 导入 防火 墙 (SSL 服务 器 ) 的 私 铀 ， 利 用 抓 包工 具 
对 抓 到 的 报 文 进 行 解密 。 


> Time 












Source Destination 

766 3.541675000 10.108.84.93 10.174.64.61 TLSvi 
| 775 3.604183000 10.174.64.61 10.108.84.93 TLSvi 
| 823 3.884566000 10.108.84.93 10.174.64.61 SSLv2 
| 837 3.947013000 10.174.64.61 10.108.84.93 TLSvi 
| 838 3.947958000 10.108.84.93 10.174.64.61 TLSvi 
853 4.017627000 10.174.64.61 10.108.84.93 TLSv1 
887 4.281916000 10.174.64.61 10.108.84.93 TLSvL 
883 4.282603000 10.108.84.93 10.174.64.61 












3 
ee Helo , Certificate, Server Mello Done 
Vient Key Exchange, Change Cipher Spec, Finished 












B96 43000 Er 108.84.93 20 4- 64. Ca 

906 4.408599000 10.174.64.61 10,108.84.93 
952 4.673126000 10.174.64.61 10,108.84.93 
980 4.794549000 10.108.84.93 10.174.64.61 
994 4.857173000 10.174.64.61 10.108.84.93 
995 4.858409000 10.108.84.93 10.174.64.61 
1002 4.924322000 10.174.64.61 10.108.84.93 
1033 5.187501000 10.174.64.61 10.108,84,93 
1034 5.188340000 10.108.84.93 10.174.64.61 pp a i ss Ignored Unknown Record 
1045 5,250574000 10.174.64.61 10.108.84.93 
1046 5.251291000 10.108.84.93 10.174.64.61 
1054 5.315473000 10.174.64.61 10.108.84.93 
1085 5.572368000 10.174.54.61} 10.108.84.93 
4088 5.576844000 10.108.84.93 10.174.64.61 
1097 5.639377000 10.174.64.61 10.108. 84.93 
1098 5.639974000 10.174.64.61 10.108.84.93 

000 





























































64.61), Dst: 10.108. 84.93 (10. 108.84. 33) 
pot Mins Led, Dst Port: 59028 (39028), Seq: 1189, Ack: S80, Len: 37 
[3 ; TLS5v1 jr Layer: a [re Encr: rypted Handshake Message 
Content Type: Handshake (22) 
Version: TLS 1.0 (0x0301) 
Length: 32 
Handshake Protocol: Encrypted Handshake Message 


左右 对 比 之 下 ， 我 们 可 以 看 到 ， 从 No.895 开始 ， 显 示 为 Encrypted Handshake Message 的 
第 一 条 消息 ， 实 际 是 服务 器 10.174.64.61 对 客户 端 10.108.84.93 发 出 Hello Request， 然 后 客户 
端 回 应 ， 随 后 服务 器 发 出 Server Hello， 并 且 从 这 条 消息 之 后 ， 服 务 器 对 客户 端 发 出 认证 其 证 书 
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的 请 求 。 从 抓 包 来 看 ， 由 于 某 些 原因 ， 这 次 协商 没有 成 功 ， 客 户 端 和 服务 器 的 协商 会 继续 进行 。 

在 No.1045 开始 ， 服 务 器 再 次 发 现 Hello Request， 然 后 继续 执行 ，No.1085 服务 器 
要 求 客户 端 提供 证 书 ， 然 后 No.1088 客户 端 发 出 其 证 书 给 服务 器 ，No.1097 服务 器 对 客 
户 端 证 书 进行 认证 ， 抓 包 显示 为 证 书 非法 ， 无 法 通过 认证 。 虽 然 没 有 通过 认证 ， 但 上 述 
消息 真实 反映 了 服务 器 对 客户 端 证 书 认证 的 完整 过 程 ， 请 大 家 左右 对 比 ， 一 揭 真 相 。 

以 上 ， 强 叔 将 远程 用 户 与 SSL VPN 服务 器 建立 连接 ， 成 功 登 录 SSL VPN 服务 器 的 
过 程 就 全 部 介绍 完了 。 在 后 续 章 节 中 , 强 叔 将 以 USG6000 系列 防火 墙 为 例 , 排出 兵器 谱 ， 
按照 访问 控制 粒度 由 细 到 粗 的 顺序 ， 先 对 办 公 应 用 中 的 最 常见 的 文件 访问 、Web 访问 
(E-mail、 电 子 流 等 ) 进行 介绍 ， 再 对 端口 转发 和 网 络 扩展 进行 介绍 。 


[0 说 明 

这 里 之 所 以 使 用 USG6000 系列 防火 墙 来 介绍 , 是 因为 与 USG2000/5000 系列 防火 墙 相 
比 ，USG6000 上 SSL VPN 功能 改进 了 用 户 认证 方式 ， 使 用 防火 墙 提 供 的 通用 认证 方 
式 (在 “8.1.4 用 户 身份 认证 ”中 介绍 过 )， 实 现 过 程 和 配置 逻辑 更 加 清晰 易 懂 。 下 文 
我 们 将 重点 围绕 着 SSL VPN 的 业务 配置 、 资 源 授权 和 访问 控制 来 对 SSL VPN 功能 进 
行 介绍 ， 对 用 户 认证 这 部 分 内 容 不 作 详细 介绍 。 


8.2 ”文件 共享 


8.2.1 文件 共享 应 用 场景 


通过 上 节 的 介绍 ， 大 家 了 解 到 SSL VPN 与 IPSec 相 比 ， 巧 妙 之 处 在 于 其 可 以 将 远程 
用 户 的 访问 粒度 细 化 到 指定 的 资源 对 象 ， 例 如 一 个 文件 或 者 一 个 URL。 为 了 让 远程 用 户 
对 自己 的 访问 权限 一 目 了 然 ， 虚 拟 网 关 提供 了 一 个 特别 友好 、 特 别人 性 化 的 平台 : 将 若 
干 文件 和 URL 组 合成 “私人 定制 ”资源 清单 呈现 给 远程 用 户 。 这 就 好 比 虚 拟 网 关 是 新 潮 
的 时 尚 餐厅 ， 不 仅 卖 美食 还 卖 定 制 化 服务 ， 可 以 为 不 同 口味 的 顾客 定制 不 同 的 菜单 。 
不 仅 如 此 ， 由 于 大 多 数 企 业 出 于 安全 考虑 都 不 想 对 外 公开 内 网 服务 器 资源 地 址 (URL 或 
文件 路 径 )， 为 此 SSL VPN 还 提供 了 “资源 地 址 加 密 ” 服 务 一 一 对 资源 路 径 进行 了 巧妙 改写 ， 
让 远程 用 户 既 能 顺畅 访问 内 网 资源 ， 又 很 难 找到 内 网 资源 地 址 。 这 就 好 比 给 白菜 豆腐 起 名 为 
莫 翠 白玉, 红 椒 绿 椒 冠 以 绝代 双 骄 ， 告 一 SMB Server 
看 挺 悬 乎 , 需要 费 点 脑筋 才能 搞 懂 其 中 奥 。 “人 
妙 。 闲 话 少 叙 ， 第 一 道 菜 呈 上 。 a 
SSL VPN 的 文件 共享 功能 ， 简 单 说 | 本 
就 是 能 够 让 远程 用 户 能 够 直接 通过 浏览 
器 安全 地 访问 企业 内 部 的 文件 服务 器 , 而 
且 支 持 新 建 、 修 改 、 上 传 、 下 载 等 常见 的 SR 
文件 操作 ， 如 图 8-5 所 示 。 8-5 SSLVPN 文件 共享 的 应 用 场景 
目前 , 在 企业 中 较为 流行 的 文件 共享 协议 包括 SMB (Server Message Block) 和 NFS 
(Network File System)， 前 者 主要 应 用 于 Windows 操作 系统 ， 后 者 主要 应 用 于 Linux 操 








Client 
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作 系 统 。 华 为 防火 墙 的 SSL VPN 对 这 两 种 协议 已 经 兼顾 到 了 ， 大 家 不 必 担 心 。 接 下 来 的 
内 容 以 SMB 协议 为 例 ， 并 借助 域 控 制 器 这 种 常用 的 认证 方式 , 介绍 文件 共享 的 交互 过 程 。 

如 图 8-6 所 示 ， 可 以 看 出 防火 墙 作 为 代理 设备 ， 与 客户 端 之 间 的 通信 始终 是 通过 HTTPS 
(HTTP+SSL) 协议 加 密 传输 ， 当 加 密 报 文 抵 达 防 火 墙 后 ， 防 火 墙 对 其 解密 后 并 进行 协议 
转换 ， 最 终 作为 SMB 客户 端 ， 向 相应 的 SMB 文件 共享 服务 器 发 起 请 求 ， 其 中 还 包含 了 
文件 服务 器 认证 的 过 程 。 从 通信 所 使 用 协议 的 角度 , 以 上 过 程 可 以 概况 为 以 下 两 个 阶段 。 





HTTPS 交互 


8-6 ”SSL VPN 文件 共享 的 处 理 流程 


(1) 远程 用 户 作 为 Web Client 与 防火 墙 作为 Web Server 之 间 的 HTTPS 交互 。 
(2) 防火 墙 作 为 SMB Client 与 文件 服务 器 SMB Server 之 间 的 SMB 交互 。 
下 面 我 们 详细 介绍 一 下 文件 共享 的 配置 方式 和 实现 原理 。 


8.2.2 ”配置 文件 共享 


在 正式 介绍 文件 共享 的 报 文 交互 之 前 ， 我 们 首先 假设 在 SMB 文件 服务 器 (以 
Windows Server 2008 为 例 ) 中 已 配置 好 文件 共享 资源 ， 并 在 域 控 制 器 中 配置 好 权限 分 配 ， 即 

资源 访问 地 址 : \4.0.2.11\huawei。 

使 用 者 权限 分 配 : admin 具有 读 取 / 写 入 权限 usera 仅 具 有 读 取 权 限 。 

虚拟 网 关 作为 SSL VPN 的 所 有 资源 入 口 ， 任 何 需 要 访问 的 资源 都 必须 在 SSL VPN 
的 配置 中 体现 ， 这 也 体现 了 SSLVPN 可 以 细 化 访问 控制 粒度 的 设计 理念 。 对 于 文件 共享 ， 
首先 需要 开启 文件 共享 功能 ， 并 新 建文 件 共享 资源 ， 目 的 是 为 远程 用 户 提供 可 视 化 的 文 
件 共 享 资源 “菜单 ” 如 图 8-7 所 示 。 


sx 












blic _Share 


图 8-7 配置 文件 共享 
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8.2.3 ”远程 用 户 与 防火 墙 之 间 的 交互 


登录 成 功 后 , 虚拟 网 关 对 用 户 开放 的 资源 都 会 在 此 界面 上 体现 。 将 鼠标 置 于 资源 上 ， 
在 浏览 器 的 状态 栏 中 可 以 看 到 此 资源 对 应 的 Web 链接 , 包含 了 需要 向 防火 墙 请 求 的 页 面 
和 需要 传递 的 参数 ， 如 图 8-8 所 示 。 大 家 可 不 要 小 瞧 这 个 URL， 它 代表 了 远程 用 户 请 求 
的 文件 资源 信息 以 及 相应 的 操作 指令 ， 不 同 的 目录 和 操作 ， 均 会 对 应 不 同 的 URL。 





图 8-8 ”SSL VPN 登录 界面 一 一 文件 共享 


https://4.1.64.12/protocoltran/Login.html?VTID=0&UserID=4&SessionID=2141622535 
&ResourceType=1&ResourceID=4&PageSize=20&%22,1) 
Q: 上 文 的 提 到 的 文件 共享 资源 \4.0.2.11\huawei 这 里 为 什么 看 不 到 ? 
A: 因为 防火 墙 已 经 将 其 隐藏 ， 使 用 ResourceID 来 唯一 确定 资源 的 地 址 ，ResourceID 
与 资源 地 址 的 对 应 关系 保存 在 防火 墙 的 大 脑 《〈 内 存 ) 中 ， 这 样 便 可 以 隐藏 内 网 服务 器 的 
真实 地 址 ， 保 护 服务 器 安全 。 
对 这 个 Web 链接 进行 深入 剖析 ， 除 去 很 明显 的 4.1.64.12 是 虚拟 网 关 地 址 外 ， 强 叔 
将 剩 下 的 链接 结构 分 解 为 3 个 部 分 ， 如 下 所 示 。 
。 protocoltran， 文 件 共享 的 专属 目录 。 从 字面 意思 来 看 是 protocol+ttransform， 表 示 
将 HTTPS 协议 和 SMB/NFS 协议 相互 转换 。 
。 Login.html， 请 求 的 页 面 ， 通 常情 况 下 不 同 的 操作 会 对 应 不 同 的 请 求 页 面 ， 强 叔 
整理 了 所 有 可 能 用 到 的 请 求 页 面 和 请 求 结 果 页 面 ， 如 表 8-2 所 示 。 
表 8-2 文件 共享 请 求 页 面 和 请 求 结果 页 面 


i 








login.html ee 
loginresult.html SMB 文件 服务 器 认证 页 面 
dirlist.html 显示 文件 共享 资源 的 详细 列表 ， 文 件 夹 结构 
downloadresult.html 
downloadfailed.html 下 载 文件 
create.html 
result.html 创建 文件 夹 
deleteresult.html 
result.html 删除 文件 、 文 件 夹 
rename.html 
upload.html 上 传 文件 


uploadresult.html 
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e。 ?VTID=0&UserID=4&SessionID=2141622535&ResourceType=1&ResourceID=4& 
PageSize=20&%22,1, 向 请 求 页 面 传递 的 参数 。 强权 这 里 先 给 出 一 张 参数 明细 表 ， 
除了 已 经 给 出 这 条 URL 涵盖 的 参数 外 ， 还 包括 了 之 后 其 他 操作 的 请 求 参 数 ， 如 
表 8-3 所 示 ， 供 大 家 对 照 理 解 。 


表 8-3 请 求 页 面 参数 说 明 






台 防 火 墙 上 的 多 个 虚拟 网 关 


UserID 用 户 了 D， 标识 当前 登录 用 户 。 为 了 安全 起 见 , 同一 用 户 每 次 登录 的 ID 
不 同 ， 防 止 中 间 攻 击 人 伪造 假 的 数据 包 


SessionID/RandomID 会 话 ID， 同 一 次 登录 虚拟 网 关 的 所 有 会 话 ID 均 相 同 
ResourceID 资源 ID， 标识 每 个 文件 共享 资源 
CurrentPath 当前 操作 所 在 的 文件 路 径 

操作 类 型 : 
1: 删除 文件 夹 

: 删除 文件 

: 显示 目录 

: 重 命 名 目录 

: 重 命 名 文件 

新 建 目 录 

: 上 传 文件 

8: 下 载 文件 
ItemNumber 操作 对 象 数量 
ItemNamel 操作 对 象 名 称 ， 可 以 包含 多 个 操作 对 象 ， 例 如 删除 多 个 文件 
操作 对 象 类 型 : 
ItemTypel 0: 文件 
1: 文件 夹 
NewName 新 名 称 
资源 类 型 ; 
ResourceType 1: SMB 资源 
2: NFS 资源 
PageSize 每 页 显示 资源 条 目 数 量 


为 了 让 大 家 对 文件 共享 功能 的 全 景 有 所 了 解 ， 强 叔 将 结合 文件 共享 的 具体 功能 对 以 
上 各 种 操作 指令 进行 逐一 验证 。 

1. 首次 访问 文件 共享 资源 ， 要 先 通过 文件 服务 器 的 认证 

这 里 所 说 的 认证 一 定 要 和 SSL VPN 登录 时 的 认证 区 分 开 , 在 登录 阶段 , 远程 用 户 首 
先 要 通过 的 是 防火 墙 认证 。 而 此 时 要 访问 文件 共享 资源 ,当然 要 看 文件 服务 器 是 否 答应 。 
在 单 击 资源 列表 中 的 “Public_share” 时 会 弹出 认证 页 面 ， 如 图 8-9 所 示 。 

















MethodType 


3aoameAwD. 


























文件 共享 登录 
@ ns 
3: [O000088 





8-9 文件 共享 登录 
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认证 通过 后 显示 文件 资源 页 面 ， 如 图 8-10 所 示 。 


| pubic share A A 
当前 路 径 : / 


120 吕 和 砚 当前 次 移 : 基 失 1 融 ) 共 2 个 绩 辣 1 习 


基 写 文件 名 文件 大 小 俱 防 针 间 
- 2014-08-26 11:56:27 


2014-09-03 34:56:01 
文件 各 个 以 峙 朵 





| Bl 





8-10 文件 共享 的 文件 操作 


上 面 的 访问 过 程 ， 强 叔 理解 可 以 分 解 为 认证 和 显示 文件 夹 两 个 阶段 ， 那 么 真正 的 交 
互 过 程 是 否 是 这 样 呢 ? 抓 包 分 析 交 互 过 程 如 下 。 


ps 二 54 全 
ps15442 
1 
hetpe /4 1 654.422020 
beips 1 65442020 


eeiE OCR 0 07320610 Firetox/ 209.9 


人 
ES 


和 


oni VEYDADZP DADVBVOVEVYCUIS IVEVAUA: ACE io0TYpe17T754590954339; 
Sxxwt eSvStrLax Aaj"; logotype*“VS0é320: copyyright-- 014; hbSigo*huavel; 


User iD=écSessionlD= i351120104Pmesour ce tiD- isVTID"O0 PesourceType= iiNethodType 





CE 
35Pagesice" -Otltenim er isle Tye ll 


没 错 ， 看 来 强 叔 的 理解 是 正确 的 ，Login.html/LoginResult.html 均 是 认证 的 页 面 ， 而 
且 将 加 密 报 文 解密 后 ，LoginResulthtml 还 包括 了 待 文件 服务 器 认证 的 用 户 名 和 密码 。 男 
外 的 Dirlist.html 正 是 显示 文件 夹 结构 的 页 面 。 
2. 下 载 文 件 的 验证 
下 载 文件 的 页 面 以 及 对 应 的 URL 如 图 8-11 所 示 。 


TREE i i pooper Ct i 
















当前 页 码 ; 1( 共 1 页 ) 共 4 个 项 目 i i 涛 天 [1 沁 





类 型 文件 名 文件 大 小 修改 时 间 
但 localai 2014-08-26 11:56:27 
| PublishDesktop 2014-09-03 14:56:01 
[a 






De 和 0.01 KB 2014-09-11 12:10:08 


userb 2014-09-11 21:21:40 








/protocoltran/DownloadResult .html VTID=0éUser1D=féSession1D=1353112810éResourceID=4£CurrentPath=2F Parameter=éHethodTyp 


e=BEIterNumber= | 6ItemName ] -ON ItemTypel=0cNewName=& HTTP/1.1 


图 8-11 ”下载 文件 
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可 以 对 照 上 面 给 出 的 表格 , 将 下 载 文件 的 操作 转换 成 文字 描述 : 下 载 (MethodType= 
8) 根 目录 (CurrentPath=2F) 下 的 文件 (ItemTypel=0), 名 称 为 readme _ 11 (ItemName1=%r 
%e%a%d%m%e_%1%1)。 但 是 要 注意 ， 这 里 有 一 点 URL 解码 的 内 容 ， 例 如 CurrentPath 
的 取 值 2F 解码 之 后 是 /， 表 示 当 前 资源 的 根 目录 。 

3.， 重 命名 文件 夹 的 验证 

重 命名 文件 夹 的 页 面 如 图 8-12 所 示 。 


当前 资源 : Public_share 






















当前 页 码 : 1( 共 1 页 ) 共 4 个 项 目 | 





上 | 随 < 








全 选 类 型 文件 名 文件 大 小 修改 时 间 

[| | localci 2014-08-26 11:56:27 
| | PublishDesktop 2014-09-03 14:56:01 
[ 加 | readme_11 0.01 KB 2014-09-11 12:10;08 
到 本 ] userb 2014-09-11 21;21:40 
全 选 


图 8-12 重 命 名 文件 夹 


这 里 因为 用 户 usera 只 有 可 读 的 权限 ， 所 以 提示 失败 了 ， 但 不 妨碍 我 们 继续 验证 : 
重 命 名 (MethodType=4) 根 目录 (CurrentPath=2F 〉 下 的 文件 (TtemTypel=1) userb 
(ItemNmael1=%u%s%e%r%b) 为 usera (NewName=%u%s%e%r%a)， 对 应 的 URL 如 
图 8-13 所 示 。 


gas 
IPOST 
jprotocoltran/Result. html?VTID=0éUser1D=6£SessionID=1353112910£Currentpath=2F LItemName l=%usstesrsbcResourceID=-4Resourc : 
ieType=lsMethodType=4¢ItemNumber=1&1ItemTypel=1¢ HTTP/1.1 

IHost: 4,1.64.12 

User~Agent: Nozilla/5.0 i¥indows NT €.1; WOWé4; rv:10.0} Geckof30100101 Firefoxf#10.0 
IAccept: text/html,application/xhtml+xml,application/xml;q=0.9, */*;q=0.8 
IAccept-Language: zh-cn,zh;q=0.5 

IAccept-Encoding: gzip, deflate 

‘Connection; keep-alive 

‘Referer: 要 
ihttps://4.1.64.12/protocoltran/Rename .html ?VTID=O06User ID=E6SessionID=1353112810&6ResourceID=4¢Parameter=2F, urssesrsh, 18 
IResourceType=1éItemNumber=15 

ICookie: userTem=uSgera: SVN_SessionID=VBVDXDZ2F 2DXDVBVBVBWYCYI2S IVBVAUA; ActionType=1775469099%2BO; 
\SESSIONID=hOAAAIERftCasbIcIEcECHETx3 Lxxmf+5vStkLaxmF ?Ag=; logotype=USGE320; copyright=2014; hSign=huavei; 
‘fylangeuage=zh CN; curLang=zh CN; fyloyinname=admirn 

‘Content-Type: text/plain 

‘Content-Length: 172 





§ NO 
‘RenameParam=VTID=D &UserID=6¢&SegsionID=13531128 urrentPath=2F tItemName |-% 


iType=4¢ItemNumber=l& ItemType l=1 5NewName 





WaceResourceID=4gResourceType=1&Method 





图 8-13” 重 命名 文件 夹 操作 对 应 的 URL 
通过 以 上 介绍 相信 大 家 已 经 明白 ， 防 火 墙 构建 这 些 链接 ， 首 先是 为 了 隐藏 真实 的 
内 网 文件 资源 路 径 (\\4.0.2.11\huawei\)， 再 者 就 是 作为 SSL VPN 网 关 为 远程 用 户 访 


问 牵 线 搭桥 : 作为 SMB Client 向 SMB Server 发 起 文件 访问 (明确 访问 的 文件 对 象 和 
操作 )。 
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8.2.4 ”防火 墙 与 文件 服务 器 的 交互 
在 防火 墙 和 文件 服务 器 之 间 抓 包 结 果 如 下 所 示 。 























i 113 10:58:10.456 4.0.2.11 4.0.2.1 181 Negoriate Protoco| Response 
i 114 10:58:10.457 4,0.2.1 4.0.2.11 SB 268 Session Setup Andx Request, NNN Tree connect Andx，Path: NO 
i 115 10;58:10.459 4.0,2.11 4.0.2,1 SMB 296 Session setup Andx Response; Tree Connect Andx 
! 116 10:58:;10.459 4,0.2.1 4.0.2.11 SB 154 Trans2 Request, FIND_FIRST2, Pattern; NuserbNw” 
117 10:58:10.459 4.0.2.11 4.0.2.1 SMB 330 Trans2 Response, FIND_FIRST2, Files: . .. 
| 118 10:58:10.460 4.0.2.1 4.0.2. 95 Find C1ose2 Request 
[ 119 10:58:10.460 4.0.2.11 .2 93 Find Close2 Response 





防火 墙 〈4.0.2.1) 作为 客户 端 向 文件 服务 器 (4.0.2.11) 发 起 协商 请 求 ， 首 先 协商 使 
用 的 SMB 版 本 (Dialect)， 防 火 墙 目前 仅 支 持 使 用 SMB1.0 (NT LM 0.12) 作为 客户 端 
与 服务 器 进行 交互 ， 如 下 所 示 。 





TD Negotiate pro 






0.2. 4.0.2.1 SMB 181 Negotiate Proroco 
4.0.2. 4.0.2.11 SMB 268 Session Serup Andx Request, User: ?Nadnini Tree Connect Andx, Path: \\4.0.2.11\huawel 
§ 4.0.2. 4,0.2.1 Sue 296 Session Setup Andx Response; Tree Connect Andx 
: 4.0.2. 4.0.2.11 SMB 154 Trans2 Request, FIND_FIRST2, Pattern: \userb\* 
2 #4.0.2. 4.0.2.1 SM6 330 Trans2 Response，FIND_FIRST2，F11es: . .. 
:58: 4.0.2. 4.0.2.11 SMB 95 Find Close2 Request 
119 10:58:10.460 4.0.2.11 4.0.2.1 SMB 93 Find Close2 Response 


I @_a2:39:D! 3 9:bb), 8 
Ei tnternet Poeocg 4 4, Sr pe 0.2. (C4. 0 二 1 Dst: 4.0.2.11 0 2 | 
B® Transmfssfon Control Proroco1， Src port: 10137 (10137), Ost Port: microsoft-ds (445), Seq: 1, Ack: 1, Len: 5 
® Ner8I0s Session Service 
SE SME (Server Message Block Protocol) 
配 SMB Header 
已 Negotiare Protoco] Request (0x72) 
word count (wcT): 0 
Byte Count (BCC): 12 
SB Requested Dialects 





服务 器 响应 信息 中 包含 接 下 来 使 用 的 认证 方式 以 及 16 位 挑战 随机 数 。 这 里 使 用 了 
一 种 安全 的 认证 机 制 : NT 挑战 /响应 机 制 ， 即 NTLM， 如 下 所 示 。 


105 Negotiate ProrOCcOT Request 















“19 Negortate Ss 
:0.2.:11 268 Session Setup Andx Request , dmin; Tree Connect Andx, 
4.0.2.1 SMB 296 Session Serup Andx Response; Tree Connect Andx 
4.0.2.11 SMB 154 Trans2 Request, FIND_FIRST2, Pattern: \uUserb\* 
4.0.2.1 SMB 330 Trans2 Response, FIND_FIRST2, Files: . .. 
4.0.2.11 SMB 95 Find Close2 ReqUest 
4.0.2.1 93 Find Close2 Response 













五 Ethermet 11, Se HuaweiTe_e8: 75:de FB:4a: bf:e8:75 6:7b (70:542F5: a2:3b:7b) 
Bm Xnterner Prorocol Version 4, Sre: 4.0.2.11 (4.0.2. 2; Dst: 4.0.2.1 Ge £) 

® Transmisston Control Preroco1， Src Port: microsoft-ds (445), Dst Port: 10137 C10137), Seq: 1, Ack: 52, Len; 127 
下 NetBIOS Session Service 

5S SMe (Server Message Block Prorocol) 
加 SMB Header 

9 Negotiate Protocol Response (Ox72) 
Word Count (wcT 

















区 Security Mod 
1 = Mode: USER security mode 

1. = Password: ENCRYPTED password, 问 

,= Signatures: Securiry signatures NOT enabled 
. = Sig Req: Security signatures NOT required 
unt: 50 






Max MPXx 
Max ves: 1 
Max Buffer Size: 16644 
Max Raw Buffer: 65536 
Session Key: 0x00000000 
Capabilities: Ox000le3fc 
System Time: sep 12, 2014 10:58:33.803746600 IDIDIDIDIDIDI 
Server Time zone; -480 min from UTC 
Ey Length: 8 
e Count (BCC): 


认证 过 程 大 致 如 下 。 

(1) 服务 器 产生 一 个 16 位 随机 数字 发 送 给 防火 墙 ， 作 为 一 个 挑战 随机 数 。 

(2) 防火 墙 使 用 HASH 算法 生成 用 户 密码 的 哈 希 值 ， 并 对 收 到 的 挑战 随机 数 进行 加 
密 。 同 时 将 自己 的 用 户 名 ， 使 用 明文 传输 ， 一 并 返回 给 服务 器 。 

(3) 服务 器 将 用 户 名 、 挑 战 随机 数 和 防火 墙 返回 的 加 密 后 的 挑战 随机 数 ， 发 送 给 域 
控制 器 。 
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(4) 域 控制 器 按 用 户 名 在 密码 管理 库 中 找到 用 户 密码 的 哈 希 值 ， 也 用 来 加 密 挑 战 随 
机 数 。 域 控制 器 比 对 两 个 加 密 的 挑战 随机 数 ， 如 果 相 同 ， 那 么 认证 成 功 。 

认证 通过 后 用 户 就 可 以 访问 指定 的 文件 或 文件 夹 了 。 

综 上 所 述 ， 我 们 可 以 看 出 防火 墙 在 文件 共享 功能 中 的 作用 其 实 就 是 代理 ， 作 为 远程 用 
户 和 SMB Server 的 中 介 : 在 HITPS 阶段 ， 作 为 Web Server 接收 远程 用 户 的 文件 访问 请 求 ， 
并 翻译 为 SMB 请 求 ; 在 SMB 阶段 ， 作 为 SMB Client 发 起 请 求 、 接 收 应 答 ， 并 翻译 给 远程 
用 户 。 有 了 文件 共享 功能 ， 远 程 用 户 访问 内 网 文件 服务 器 就 像 访问 普通 Web 网 页 一 样 方便 ， 
不 用 安装 文件 共享 客户 端 ， 不 用 记 服 务 器 的 卫 地 址 ， 也 不 会 在 众多 服务 器 中 迷航 。 


8.3 Web 代理 


尽管 都 是 对 象 级 别 的 资源 访问 ， 但 URL 与 文件 共享 不 同 ， 访 问 URL 本 身 使 用 的 就 
是 HTTP 协议 ， 而 SSL 协议 生来 就 和 HTTP 是 天 生 一 对 ， 因 此 在 Web 代理 功能 中 ， 已 
经 不 再 涉及 协议 转换 的 内 容 。 但 是 我 们 还 是 要 围绕 两 个 最 核心 的 内 容 进行 畦 述 : URL 级 
别 的 访问 控制 和 隐藏 真实 的 URL 地 址 。 

Web 代理 ， 也 就 是 通过 防火 墙 做 代理 访问 内 网 的 Web 服务 器 资源 (也 就 是 URL 资 
源 )。 说 到 这 里 大 家 可 能 会 问 了 , 这 不 就 是 普通 的 代理 功能 吗 ? 使 用 一 台 服 务 器 做 跳板 访 
问 目的 URL 地 址 , 这 人 台 服 务 器 就 是 起 的 代理 作用 , 防火 墙 跟 这 个 实现 一 样 吗 ? 答案 是 不 
完全 一 样 ， 防 火 墙 在 整个 过 程 中 不 仅 做 了 代理 ， 而 且 对 真实 的 URL 进行 了 改写 处 理 ， 从 
而 达到 隐藏 真实 的 内 网 URL 的 目的 ， 进 一 步 保 护 了 内 网 Web 服务 器 的 安全 。 


8.3.1 配置 Web 代理 资源 


假设 企业 已 架设 好 Web 服务 器 ， 并 对 企业 内 网 提供 了 Portal 门户 地 址 : http://portal. 
test.com:8081/， 希 望 通 过 Web 代理 功能 为 远程 用 户 提供 访问 。 

与 文件 共享 资源 一 样 ， 为 了 细 化 访问 控制 粒度 到 URL 级 别 ， 需 要 在 虚拟 网 关中 配 
置 相应 的 Web 代理 资源 ， 如 图 8-14 所 示 。 









史 量 示 
hpiportaltesteome001; 
Wap 





8-14 ”Web 代理 资源 列表 一 一 新 建 资源 


294 华为 防火 墙 技术 漫谈 


在 以 上 配置 中 ， 最 重要 的 参数 要 属 资源 类 型 ， 它 定义 了 Web 代理 方式 。 代 理 方 式 包 
括 Web 改写 和 Web-Link， 二 者 的 差异 如 表 8-4 所 示 。 


表 8-4 eb 改写 和 Web-Link 对 比 





安全 性 。 | 对 真实 的 URL 进行 改写 , 隐藏 内 网 服务 不 会 进行 改写 , 直接 转发 Web 请 求 
器 地 址 ， 安 全 性 较 高 和 响应 ， 会 暴露 内 网 服务 器 的 真实 地 址 
不 依赖 正 控件 ， 在 非 E 环境 的 浏览 器 9 

易 用 性 。 | 全 下 BE 有 依赖 正 控件 ,在 非 下 环境 中 无 法 正常 使 用 


无 需 对 资源 进行 改写 ， 由 防火 墙 直接 对 请 
求 和 响应 进行 转发 ， 所 以 没有 页 面 兼容 性 
的 问题 





由 于 Web 技术 发 展 非常 迅速 ， 防 火 墙 对 
于 各 类 URL 资源 的 改写 无 法 做 到 面 面 
俱 到 ， 可 能 会 出 现 图 片 错位 ， 字 体 显 示 
不 正常 等 问题 


Web-Link 作为 Web 改写 的 最 佳 替 补 ， 但 由 
于 依赖 IE 控件 , 必然 在 使 用 上 存在 局 限 性 。 
而 且 没 有 对 内 网 URL 进行 改写 ， 存 在 安全 
风险 


优先 推荐 使 用 Web 改写 ， 因 为 这 是 最 安 
使 用 建议 | 全 、 最 方便 的 一 种 访问 方式 。 如 果 出 现 
页 面 显示 异常 ， 再 考虑 Web-Link 方式 





在 表 8-5 中 强 叔 还 列 出 了 其 他 一 些 参数 的 含义 。 
表 8-5 Web 代理 参数 说 明 





内 网 可 以 直接 访问 的 Web 应 用 地 址 。 如 果 是 域名 形式 的 话 ， 那 么 需要 在 虚拟 网 关 
中 配置 相应 的 DNS 服务 器 地 址 


相当 于 Web 应 用 地 址 的 自 定义 分 类 ， 远 程 用 户 登录 后 可 以 通过 资源 组 筛选 需要 的 
资源 ， 好 比 菜 单 中 的 主食 、 酒 水 分 类 一 样 








资源 组 上 二 -一 2 
[20 | 条 质 当前 页 码 ; 1( 共 1 页 ) 


otal 首 页 


选择 Web 代理 资源 是 否 显示 在 登录 后 的 虚拟 网 关 首 页 上 。 如 果 不 选 中 ， 相 当 于 为 
老 顾 客 准备 了 菜单 之 外 的 私房 菜 。 这 时 老 用 户 可 以 在 登录 后 的 右上 角 地 址 栏 中 手动 
输入 URL 地 址 ， 访 问 一 些 比 较 机 密 的 URL 资源 

门户 链接 个 主页 。 喜 用 户 选 项 者 且 





Web 改写 究竟 是 如 何 工 作 的 ， 强 叔 会 带 着 大 家 一 起 继续 学 习 。 对 于 Web-Link 这 里 
先 埋 个 小 伏笔 ， 强 叔 会 在 “8.4 ”端口 转发 ”中 重点 讲解 。 
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8.3.2 对 URL 地 址 的 改写 


对 于 前 面 已 经 配置 的 Web 代理 资源 URL http://portal.test.com:8081/， 给 用 户 实际 呈 
现 的 URL 地 址 我 们 可 以 看 到 已 经 被 改写 了 ， 如 图 8-15 所 示 。 










NO S9L VPN 
welcomne 


| 万 弱 和 页 当前 页 码 : 1( 共 1 页 ) 共 ] 条 资源 
| 古 EN 
| 


六 Public_share 
Rn 





图 8-15 SSL VPN 登录 界面 





Web 代理 


对 改写 结果 进行 分 析 ， 其 中 4.1.64.12 为 虚拟 网 关 地 址 ， 剩 余部 分 大 致 可 以 分 为 几 部 
分 ， 如 下 所 示 。 

。 webproxy: Web 代理 的 专属 目录 。 

e。 1/1412585677/4: UserID/SessionID/ResourceID ， 这 几 个 参数 在 介绍 文件 共享 的 时 

候 已 经 提 到 过 。 

e http/portal.test.com:8081/0-2+: 原始 URL 地 址 的 变形 。 

当 用 户 访问 改写 后 的 地 址 时 ， 发 生 了 如 下 交互 。 

1. 远程 用 户 向 防火 墙 请 求 改 写 后 的 URL 地 址 


era; 

RcEjioPType21432585677X2B0， SESSIONID=EAEAAAOr 5VTUSC10GMgKZ9RT3wEIRi19qw3QyNzxvs-; 

th copyright =2014; hsign=huawei; fwlangeuage=zh_CN; curLang=zh_CN; 
ogqinname=admin 





请 求 报 文 到 达 防 火 墙 之 前 均 为 加 密 状 态 ， 上 图 是 经 过 解密 处 理 后 的 ， 所 以 也 可 以 理 
解 为 防火 墙 收 到 的 真实 请 求 。 

2. 防火 墙 对 收 到 的 报 文 进行 解密 后 ， 向 内 网 服务 器 发 送 请 求 之 前 ， 继 续 对 原始 报 
文 作 如 下 处 理 

(1) 需要 删除 原始 报 文 头 中 的 Accept-Encoding 字段 ， 否 则 Web 服务 器 可 能 会 将 响 
应 报 文 加 密 发 给 虚 防 火 墙 ， 而 防火 墙 对 其 无 法 解密 处 理 ， 无 法 进行 进一步 的 转发 。 在 下 
图 中 ， 可 见 防火 墙 已 经 将 原始 报 文中 的 Accept-Encoding 字段 删除 了 。 

(2) 将 host 字段 替换 为 真实 的 内 网 Web 资源 地 址 ， 如 下 所 示 。 
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65 HTTPAL 1 304 NOT Mod 

542 GET /static/tmg/rerweer. HTTPAL.1 
G48 HITTP/1.1 200 OK (PNGY 

50 10030 - sunproxyadmin [ACK] Seq=372 Ack=1106 Wirm327€ 
473 GET /static/img/favicon,ico HTTP/L.1 


F 3 Y Capr 3 
名 eNet 1I, sre: HuawetTe_ a2:39: bb 《707 534:f53 a2: 395 bb), Dst: Pe 2 de Cf8:4a:bf: egS:75Yde] 
WB Intearnet frococol version 4, Sre: 4.0.2,.1 (4.0.2.1), Dst: 4.0.2.11 {4.0.2.11) 
四 Transmission Control Protocol, Sre Fort: 10030 i0030), Dst Port: sunproxyadmin (8081), Seq: 1, Ack: 1, Len: $13 
与 
二 AN 人 -~ > : 

图 [Expert Info (Chat/sequence): GET / HTTPAL EN 
Request Merhod: GET 
Request URI: / 
pi MANS rs > 

Q 0 .0 (windows NT 6.1; WOw64; rv:10.0) Gecko/20100101 Firefox/10.0\rn 
Accept: te /heal, appliication/xhtml+xml ,applicatrion/xml;q=0.9,*/*;9q=0.8\r\n 
CS Languag zh- n,2h;q=0. 5\r\n 

FT6 EEE ve\r\n 

CookTe: SESSIONID=EAEAAAOrSVTUSc1 GOrGMqKA9RTJwGTMT190w3Q/NZxVs=; logotype=USG6320; copyr ight=2014; hsign=huawe1; fw 
If-None-Match: “e3fb613ddfd0cf1:0 "ANrNn 
If-modified-since: Mon，15 Sep 2014 12:19:04 GMTNrNn 

















HTTP request 


(3) 修改 与 此 Web 资源 相关 的 一 些 URL 的 Referer 字段 为 真实 的 内 网 Web 资源 地 
如 下 所 示 。 





BE HITP 948 HTTP/L. OO OK PG 

702 22:03:53. 4.0.2.1 4.0.2.11 HTTP 473 GET /static/img/favicon. ico HTTP/1.1 

703 22:03:53.860 4.0.2.11 4.0.2.1 MTTP2 1454 HEADERS, HEADERS, Unknown Type (22), Unknown type (1 
710 22:03:53.894 4.0.2,1 4.0.2.11 HTTP 509 GET /static/img/icon. png HTTP/L.1 

714 22:03:53.895 #4.0.2.1 4.0.2.11 HITP S08 SET /static/img/app. png HTTP/L.1 

715 22:03:53. 4.0.2.11 4.0.2.1 HTTP 771 HTTP/1.1 206 OK (PNG) 





TE : : 
a ethernet II, Src: HuaweiTe_ a2:39:bb (70:54:f5:a2:39:bb), Ost: HuaweiTe_e8:75:de (f8:42:bf de) 
ss Enternet Prorocol Version 4, Sre: 4.0.2.1 (4.0:.2.1), Dst: 4.0,2.11 (4.0.2.11) 
wm Transmission Control prorocol, Src Port: 10030 (10030), Dst Port: pr oxyadmin (8081), Seq: S14, Ack: 212, Len: 458 
[= > 和 和 


色 
wm [Expert Infa 《cl pee static/img/rerweert. png HTTP/L, 1\r\n) 
Request Method: GET 
Request URI: /static/img/retweer. png 
Request Version: HTTP/1.1 
User-Agert: Moz111la/5.0 (windows NT 6.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10,0\r\n 
Accept: mage/png, mage/*;q=0.8,*/*;q=0.5\r\N 
Accept-Language: zh-cr,2h;q=0.5\n 
Connect fon; k alive\r\n 


Cookie; SESSIONIO"EAEAAAOr SVTUSC OrGMgK/ORT JWGINTIONNSQ/NZXYS »; TogotypewUSG6320; copyr ight "2014; hsignehuawet; fw1 
Host; portal.test.com:8081\r\n 
vn 





[HTTP request 2/3] 


Ron 0 


3. 防火墙 作 为 Web Client 将 改写 后 的 数据 发 送 给 真实 的 Web Server 
接 下 来 就 是 正常 的 HTTP 交互 了 ， 此 处 不 再 壹 述 。 


8.3.3 ”对 URL 中 资源 路 径 的 改写 


防火 墙 接收 到 的 应 答 报 文 ， 也 就 是 需要 呈现 给 用 户 的 页 面 〈 以 首页 http://portal.test. 
com:8081/ 为 例 )， 对 于 页 面 中 的 一 些 资源 路 径 也 需要 进行 改写 ， 如 果 不 对 资源 路 径 进 行 
改写 , 客户 端 就 会 使 用 错误 /不 存在 的 地 址 获取 资源 , 最 终 导致 相应 的 内 容 无 法 正常 显示 。 
目前 防火 墙 支 持 对 如 下 页 面 资 源 进行 改写 。 

。 HTML 属性 

。 HTML 事件 
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e JavaScript 

e。 VBScript 

®。 ActiveX 

®。 CSS 

e XML 

防火 墙 可 以 对 这 些 资源 的 内 部 路 径 进行 改写 ， 目 的 是 为 了 页 面 的 正常 显示 和 功能 的 
正常 使 用 。 


8.3.4 对 URL 包含 的 文件 改写 


其 实在 上 一 小 节 已 经 对 文件 的 改写 已 经 做 了 一 部 分 介绍 ， 但 均 是 基于 所 请 求 页 面 的 
资源 改写 ， 也 就 是 说 所 改写 的 内 容 是 用 户 无 需 感知 的 ， 用 户 所 关心 的 是 页 面 是 否 能 正常 
显示 ，Web 的 功能 是 否 正常 。 而 接 下 来 要 说 的 ， 正 是 用 户 切 实 关 心 的 文件 ， 包 括 PDF、 
Java Applet 和 Flash。 

以 PDF 为 例 ， 我 们 将 apdf 内 嵌 到 http://portal.test.com:8081/ 中 ， 以 链接 的 形式 供用 
户 下 载 使 用 。PDF 中 的 内 容 如 下 ， 包 括 只 有 在 内 网 可 以 访问 的 链接 (http://support.test. 
com/enterprise)， 如 果 防 火 墙 不 对 其 进行 改写 ， 远 程 用 户 打开 下 载 后 的 PDF 文件 并 访问 
其 中 的 链接 ， 会 无 法 访问 ， 如 图 8-16 所 示 。 


,介绍 如 何 获取 华为 技术 有 限 公 司 Huawei Technologies co, Ltd 的 技术 支持 。 
华为 技术 有 限 公司 Huawei Technologies Co.. Ltd. 提 供 了 丰富 的 技术 支持 渠道 。 如 果 您 是 
我 们 的 客户 ， 并 且 拥有 技术 支持 网 站 账号 ， 您 可 以 在 线 访问 我 们 的 工具 和 资源 。 

| 查阅 产品 文档 :进入 技术 车 汪汪 全 和 策 支 持 版 块 中 选择 产品 。 

e 人 查阅 版 本 文档 : 进入 技术 支持 网 站 ， 在 软件 下 载 版 块 中 选 

' 。 在 知识 库 中 查找 答案 进入 技术 支持 网 站 ， 在 快速 链接 中 选择 知识 库 。 












8-16 ”URL 中 包含 文件 


而 通过 虚拟 网 关 下 载 Web 代理 资源 中 的 PDF 文件 ， 本 地 打开 后 显示 如 下 ， 可 见 文 
件 中 原来 的 内 网 URL 已 经 被 改写 ， 改 写 后 的 URL 为 虚拟 网 关 地 址 开头 ， 这 样 外 网 用 户 
就 可 以 访问 内 媒 在 PDF 文件 中 的 内 网 资源 ， 如 图 8-17 所 示 。 








间 语 安信 霹 常 用 洒 址 等 级 用 计生 W2 主 页 工时 申 损 六 次 补 肌 HEEx 网 址 导航 


华为 技术 有 限 公司 Huawei Technologies Co., Ltd 提供 了 丰富 的 技术 支持 渠道 。 如 果 您 是 
我 们 的 客户 ， 并 且 拥有 技术 支持 网 站 账号 ， 您 可 以 在 线 访问 我 们 的 工具 和 资源 。 





。 ”查阅 产品 文档 : 进入 技术 支 芝 emo oop ee | 选择 产品 。 
| e。 ”下 载 最 新 的 软件 版 本 ， 查 阅 版 本 文档 进入 技术 支持 网 站 ， 在 软件 下 载 版 块 中 选 
| 择 产品 。 


在 知识 库 中 查找 答案 : 进入 技术 支持 网 站 ， 在 快速 链接 中 选择 知识 库 。 





图 8-17 对 URL 中 包含 的 文件 进行 改写 
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8.4 ”端口 转发 


文件 共享 和 Web 代理 可 以 应 对 远程 用 户 访 问 内 网 资源 的 大 部 分 需求 , 但 是 有 些 情况 
下 ， 例 如 对 于 Telnet、SSH、Email 等 基于 TCP 的 非 Web 应 用 的 访问 ， 文 件 共 享 和 Web 
代理 看 似 束手无策 了 。 但 事实 并 非 如 此 ,本 节 强 叔 就 给 大 家 介绍 SSL VPN 第 三 个 神奇 的 
功能 一 一 端口 转发 。 

端口 转发 ， 一 言 以 蔽 之， 就 是 使 用 专门 的 端口 转发 客户 端 程序 ， 在 远程 用 户 侧 获取 
用 户 的 访问 请 求 ， 再 通过 虚拟 网 关 转 发 到 内 网 相应 的 服务 器 。 接 下 来 以 最 常见 的 Telnet 
访问 为 例 ， 介 绍 远程 客户 端 通过 SSL VPN 访问 内 网 的 配置 和 处 理 流程 。 


8.4.1 配置 端口 转发 





端口 转发 的 应 用 场景 如 图 8-18 所 示 。 


FTP Server 











4.1.64.179 


~ “IO.12 4.1.64.11 






: Fe 
| 


Email Serve™ internet 


Client 
Telnet Server 
10.1.1.1 


图 8-18 ”端口 转发 应 用 场景 


与 前 面 介 绍 的 SSL VPN 其 他 功能 一 样 , 无 论 访问 什么 样 的 应 用 , 首先 都 要 在 虚拟 网 
关中 添加 相应 的 资源 ， 对 Telnet 而 言 ， 只 需要 在 虚拟 网 关中 配置 Telnet 服务 器 的 了 P 地 址 
和 端口 即 可 ， 如 图 8-19 所 示 。 













| 主机 地 址 类 型 “| 主机 iP 地 让 画 
| 主机 IP 地 址 FT  - 
LTeIne 地 用 


“资源 描述 





图 8-19 ”端口 转发 一 一 新 建 资源 


开启 转口 转发 功能 有 两 种 方式 ， 一 是 远程 用 户 在 登录 后 的 虚拟 网 关 界 面 中 ， 选 择 手 
动 启用 端口 转发 功能 ， 二 是 由 管理 员 在 配置 的 时 候 设置 为 登录 后 客户 端 自动 启用 ， 如 
图 8-20 所 示 。 除了 可 以 自动 启动 端口 转发 功能 , 管理 员 还 可 以 选择 是 否 保持 端口 转发 长 
连接 ， 这 是 由 于 有 些 应 用 的 访问 持续 时 间 较 长 (如 远程 用 户 在 操作 Telnet 的 过 程 中 突然 
要 离开 一 段 时 间 )， 选 中 后 可 以 防止 因 SSL 连接 超时 断 开 而 中 断 端口 转发 业务 。 
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配置 庙 口 转发 


| 

端口 转发 功能 本 启用 

客户 并 自动 启用 -启用 

保持 连接 中 站 用 

端口 转发 资源 列表 

中 于 守 补 呈 半天 村 徐 | 请 箱 入 资 捧 名。 | @@ 坦 词 | 回 高 级 查询 


L 资源 名 | 主机 名 MP 地 址 | 庙 口 | 资源 描述 | 编辑 | 






Et RE 
图 8-20 配置 端口 转发 

端口 转发 的 数据 处 理 流程 相对 复杂 ， 强 叔 这 里 给 出 一 张 简 图 ， 如 图 8-21 所 示 ， 后 文 
将 对 各 个 阶段 逐一 介绍 。 


Telnet 服务 器 


Telnet 客户 端 端口 转发 客户 端 


1 
中 
1 
1 
下 
hn 
' 
0 


将 对 应 的 客户 端 
socket ID 放 入 私有 头 





8-21 ”端口 转发 处 理 流程 


CO 说 明 
这 里 的 端口 转发 客户 端 包含 了 SSLVPN 客户 端 功能 ,只 是 为 了 强调 端口 转发 业务 才 特 地 如 
此 称谓 。 
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8.4.2 ”准备 阶段 


1. 登录 SSLVPN 

此 过 程 在 “8.1.2 SSLVPN 的 应 用 场景 ”中 已 经 介绍 ， 不 再 著述 。 

另外 需要 大 家 知悉 ， 在 上 一 节 中 强 叔 是 围绕 URL 展开 分 析 的 ， 而 端口 转发 的 分 析 
将 有 所 不 同 ， 尽 管 也 登录 了 虚拟 网 关 ， 但 因为 是 非 Web 类 的 应 用 访问 ， 所 以 对 应 的 资源 
访问 也 不 再 使 用 Web, 而 是 借助 其 他 应 用 程序 , 如 Putty (Telnet/SSH 工具 )、 Filezilla (FTP 
工具 )、Foxmail (邮件 程序 〉 等 。 这 时 问题 也 随 之 而 来 了 ， 非 Web 应 用 程序 是 如 何 利用 
已 经 登录 的 SSL VPN 连接 的 呢 ? 

2. 端口 转发 客户 端 进入 聆听 状态 

使 用 非 Web 应 用 程序 进行 数据 访问 时 ， 看 似 与 SSL VPN 没什么 关系 ， 但 实际 上 ， 
端口 转发 关键 的 技术 点 已 在 此 恭候 多 时 : 用 户 使 用 Windows 系统 的 正 浏览 器 登录 虚拟 
网 关 后 ， 会 在 本 地 PC 的 下 浏览 器 上 自动 运行 端口 转发 客户 端 (ActiveX 控件 )。 这 个 客 
户 端的 作用 就 是 像 顺 风 耳 一 样 时 刻 “ 聆 听 ” 其 他 程序 的 所 有 请 求 ， 并 在 千钧一发 之 际 将 
远程 用 户 发 给 内 网 服务 器 的 请 求 “ 拦 截 ” 下 来 ， 然 后 再 通过 SSL 连接 发 送 给 虚拟 网 关 。 
对 于 “聆听 ”到 的 请 求 ， 选 择 哪些 请 求 进行 拦截 ， 这 位 顺风 耳 并 不 是 一 意 孤 行 ， 是 根据 
虚拟 网 关 这 位 上 级 的 指示 来 严格 执行 的 。 那 么 指令 是 什么 呢 ? 

前 面 配置 的 端口 转发 资源 ， 实 际 上 就 是 虚拟 网 关 给 端口 转发 客户 端 下 发 的 指令 
“有 用 户 要 访问 这 些 资源 ， 请 你 协助 它们 完成 访问 任务 ” 在 端口 转发 功能 中 ， 下 发 的 指 
令 便 是 目的 主机 IP 地 址 + 目的 端口 ,以 上 信息 可 以 唯一 确定 远程 用 户 要 访问 的 应 用 信息 。 

如 图 8-22 所 示 , 远程 用 户 手 动 启用 端口 转发 功能 后 ,端口 转发 客户 端 会 自动 向 虚拟 
网 关 请 求 资源 信息 ， 客 户 端 请 求 到 的 资源 信息 会 保存 在 远程 用 户 PC 的 内 存 中 ， 随 时 待 
命 ， 便 于 在 接 下 来 选择 “拦截 ”哪些 请 求 。 











点 击 按 包 主动 此 务 后 可 以 访问 以 下 资源 > 


[0 司 条 页。 当前 页; 1( 共 1 页 ) 。 共 2 条 资源 ”” 国 因 加 剧 [ 国 


| elnet_serverl 
| elnet_seryer2 








图 8-22 ”端口 转发 一 一 启动 


为 了 不 暴露 内 网 服务 器 的 地 址 ， 有 具体 资源 信息 无 法 在 端口 转发 客户 端 上 进行 查看 ， 
菜单 中 的 资源 也 无 法 直接 单 击 ， 只 有 简单 的 提示 作用 。 


8.4.3 ”Telnet 连接 建立 阶段 


1. 顺风 耳 精 准 拦截 ， 施 展 代理 绝活 
在 顺风 耳 的 脑海 中 ， 已 经 明确 要 “拦截 ”哪些 请 求 了 ， 当 下 要 做 的 就 是 竖 起 耳 条 ， 
聆听 自己 关心 的 内 容 。 当 用 户 使 用 Telnet 程序 对 10.1.1.1 的 23 端口 请 求 连接 时 (一 个 
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TCP SYN 报 文 ), 顺风 耳 发 现 与 上 级 虚拟 网 关 下 发 的 资源 信息 (目的 IP+ 目 的 端口 ) 匹配 ， 
立即 将 此 TCP SYN 报 文 “拦截 ”如果 按照 通常 的 做 法 这 时 就 可 以 将 请 求 报 文 发 给 虚拟 
网 关 交 差 了 ， 但 这 里 顺风 耳 考 虑 到 如 果 不 经 过 处 理 便 发 送 给 虚拟 网 关 ， 即 会 导致 每 个 
Telnet 请 求 〈 即 每 条 TCP 连接 ) 都 会 对 应 建立 一 条 新 的 SSL 连接 ， 这 样 做 不 但 会 占用 过 
多 的 系统 资源 ， 而 且 响 应 速度 也 会 有 延迟 。 

为 了 节省 虚拟 网 关 的 会 话 和 内 存 资源 ， 提 高 用 户 体 验 ， 顺 风 耳 决定 先 乔装 打扮 成 接 
收 方 ， 模 拟 接收 一 次 Telnet 业务 请 求 〈TCP 连接 )， 弄 清楚 用 户 需 要 访问 什么 样 的 资源 ， 
采用 “集中 代理 的 方式 ， 一 条 SSL 连接 搞定 ”的 战术 , 减轻 “上 级 ”( 虚 拟 网 关 ) 的 压力 。 
如 何 模拟 接收 Telnet 业务 ? 如 何 集 中 代理 呢 ? 顺 风 耳 这 个 优秀 的 代理 业务 员 自 有 妙计 。 

端口 转发 收 到 Telnet 请 求 后 对 报 文 进行 改造 ， 将 原来 要 发 送 给 10.1.1.1 的 请 求 改 为 
发 送 给 自己 (127.0.0.1)， 这 样 就 等 于 自己 代替 Telnet 服务 器 接受 了 请 求 。 不 过 ， 模 拟 归 
模拟 ， 模 拟 的 同时 必须 记录 改造 前 后 的 对 应 关系 ， 便 于 后 续 可 以 代替 Telnet 服务 器 应 答 
真正 的 用 户 (4.1.64.179)。 

端口 转发 客户 端 与 自己 建立 了 TCP 连接 1 (也 叫 本 地 环 回 连接 )， 使 用 netstat 命令 
验证 如 下 。 


C:> netstat -anp tcp 
协议 ”本 地 地 址 外 部 地 址 状态 
TCP -127.0.0.1:1047 0.0.0.0:0 LISTENING 
TCP -127.0.0.1:1047 127.0.0.1:7319 ESTABLISHED 
”TCP 127.0.0.1:7319 127.0.0.1:1047 ESTABLISHED 


2. 构造 私有 报 文 头 ， 提 交 “端口 转发 业务 单 ” 

模拟 接收 Telnet 业务 请 求 后 ， 端 口 转发 客户 端 对 用 户 的 请 求 已 经 了 然 于 胸 ， 按 流程 
要 求 需要 填写 “端口 转发 业务 单 ” 提 交 上 级 领导 。 业 务 单 中 必须 包括 用 户 要 请 求 的 目的 
地 址 (10.1.1.1) 和 端口 (23)， 以 及 命令 字 〈 建 立 连 接 、 传 输 数据 报 文 或 关闭 连接 等 )， 
这 样 上 级 才能 进一步 处 理 。 

此 处 需要 注意 : 由 于 端口 转发 客户 端 自己 模拟 了 接收 方 建立 了 TCP 链接 1， 所 以 业 
务 单 中 必须 对 该 TCP 链接 做 一 个 标记 (TCP 连接 1 的 socket ID, 称 为 客户 端 socket ID)， 
只 有 这 样 当 上 级 将 业务 受理 结果 返回 时 ,端口 转发 客户 端 才能 根据 标记 找到 TCP 连接 1， 
将 返回 结果 发 给 对 应 的 Telnet 客户 端 。 

“端口 转发 业务 单 ” 在 端口 转发 业务 中 被 称 为 私有 报 文 头 (简称 私有 头 )， 如 表 8-6 所 示 。 
这 里 仅 以 Telnet 请 求 连接 的 报 文 为 例 ， 对 私有 报 文 头 的 主要 字段 进行 说 明 。Telnet 连接 建立 
阶段 报 文 载荷 为 宝 ， 所 以 传输 时 只 有 私有 报 文 头 ， 在 数据 传输 阶段 报 文才 会 有 载荷 。 












标识 用 户 身份 ， 虚 拟 网 关 自 动 为 用 户 分 配 。 
Open: 新 建 连接 
Data: 数据 命令 
Close: 关闭 连接 


可 以 理解 为 端口 转发 业务 单 号 
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( 续 表 ) 





端口 转发 
Web-Link 

业务 类 型 Web-Link 实际 上 就 是 HTTP/HTTPS 的 端口 转发 业务 , 也 就 是 说 Web-Link 资源 ， 
同样 也 可 以 配置 为 端口 转发 资源 。 但 是 请 注意 , 在 Web-Link 资源 中 知名 端口 可 
以 不 指定 ， 例 如 http://www.huawei.com/， 但 是 在 端口 转发 的 配置 中 端口 号 是 必 
选 ， 例 如 HTTP 的 知名 端口 号 80，HTTPS 是 443 


源 卫 地 址 原始 请 求 中 的 源 卫 地 址 ， 本 例 中 为 远程 用 户 客户 端的 地 址 : 4.1.64.179 
目的 他 地 址 原始 请 求 中 的 目的 人 P 地 址 ， 本 例 中 为 内 网 Telnet 地 址 : 10.1.1.1 

协议 类 型 目前 仅 支 持 TCP 协议 

目的 端口 原始 请 求 中 的 目的 端口 ， 本 例 中 为 内 网 Telnet 端口 : 23 


客户 端 socket ID 远程 用 户 与 防火 墙 建 立 连 接 使 用 的 socket ID， 用 于 标识 此 次 会 话 ， 后 续 的 报 文 
会 继续 使 用 这 个 socket ID 


服务 器 socket ID 防火 墙 作 为 Telnet Client 与 内 网 服务 器 建立 连接 使 用 的 socket ID， 作 用 与 客户 
端 socket ID 一 样 ， 均 用 来 标识 会 话 


“端口 转发 业务 单 ” 整 理 完 成 后 通过 SSL 连接 加 密 发 送 给 虚拟 网 关 。 

需要 注意 的 是 ， 此 处 建立 的 是 一 条 专门 用 于 端口 转发 业务 的 SSL 连接 ， 而 非 登 录 时 
已 经 建立 好 的 SSL 连接 。 当 Telnet 对 其 他 资源 发 起 访问 时 情况 类 似 ， 建 立新 的 TCP 连 
接 后 ， 端 口 转发 客户 端 也 会 再 填写 一 份 “ 端 口 转发 业务 单 ”， 并 共享 这 条 SSL 连接 进行 
发 送 。 这 样 ， 在 客户 端 和 虚拟 网 关 之 间 会 始终 保持 一 条 唯一 的 SSL 连接 。 总 之 ， 所 有 的 
“端口 转发 业务 单 ” 都 将 送 往 这 条 SSL 连接 ， 经 过 加 密 后 再 发 往 虚拟 网 关 ， 大 大 减轻 了 
虚拟 网 关 的 工作 量 。 

3. 虚拟 网 关 与 内 网 服务 器 建立 连接 

虚拟 网 关 收 到 加 密 后 的 报 文 , 对 其 进行 解密 ,在 “端口 转发 业务 单 ” 中 获取 到 Telnet 
真实 的 目的 他 地 址 和 端口 、 命 令 字 等 信息 ， 此 时 虚拟 网 关 将 作为 Telnet 客户 端 与 内 网 服 
务 器 进行 交互 建立 Telnet 连接 。 通 过 查看 防火 墙 的 会 话 表 ， 可 以 得 出 防火 墙 随机 启用 了 
端口 10010 向 10.1.1.1:23 发 起 访问 请 求 ， 建 立 了 TCP 连接 2。 

telnet VPN:public --> public 10.,1.1.2:10010-->10.1.1.1:23 

4. 内 网 服务 器 响应 报 文 返回 Telnet 客户 端 

虚拟 网 关 收 到 内 网 服务 器 的 响应 报 文 〈 登 录 界 面 )， 在 发 给 远程 客户 之 前 ， 虚 拟 网 
关 依 然 会 构造 私有 报 文 头 ， 填 写 TCP 连接 2 的 socket ID 〈 服 务 器 socket ID )， 这 样 便 可 
以 与 TCP 连接 1 建立 对 应 关系 。 最 终 ， 虚 拟 网 关 把 经 过 SSL 加 密 后 的 私有 报 文 头 + 数据 
发 送 给 端口 转发 客户 端 。 端 口 转发 客户 端 根据 私有 头 中 客户 端 socket ID 找到 TCP 连接 1， 
再 找到 Telnet 客户 端 真实 IP 地 址 ， 最 终 返回 真实 的 数据 。 

端口 转发 客户 端 收 到 经 SSL 解密 后 的 数据 如 下 ， 从 截图 中 标识 的 部 分 已 经 依稀 
看 到 登录 页 面 的 文字 了 ， 也 就 是 Telnet 数据 报 文 ， 而 上 半 部 分 的 内 容 正 是 私有 头 的 
内 容 。 
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8.4.4 ”数据 通信 阶段 


后 续 的 Telnet 数据 报 文 , 会 继续 使 用 之 前 建立 的 TCP 连接 1 和 TCP 连接 2, 然后 通 
过 私有 报 文 头 将 两 个 连接 进行 关联 ， 最 终 打 通 “Telnet 客户 端 一 端口 转发 客户 端 一 虚拟 
网 关 一 Telnet 服务 器 ”之 间 的 传输 通道 ， 实 现 数据 通信 。 

Telnet 应 用 的 端口 转发 流程 就 介绍 到 这 里 ，Telnet 协议 只 是 最 简单 的 单 通道 协议 ， 除 
此 之 外 ， 端 口 转发 还 支持 如 下 类 型 应 用 。 

。 多 通道 协议 ， 支 持 FTP 和 Oracle SQL NET。 在 实际 的 配置 中 ， 对 于 FTP 协议 只 
需要 指定 控制 通道 的 端口 21， 协 商 后 的 数据 端口 会 被 自动 “聆听 ” 无 需 额 外 
配置 。 

。 多 协议 应 用 。 对 于 有 些 应 用 ， 需 要 多 个 协议 支持 ， 例 如 Email， 需 要 在 配置 端口 
转发 业务 前 ， 确定 发 送 协议 (CSMTP:25) 和 接收 协议 (POP3:110 或 者 IMAP:143) 
的 端口 号 ， 并 为 每 一 种 协议 配置 一 条 端口 转发 资源 。 

e。 多 了 下 固定 端口 应 用 。 例如 IBM Lotus Notes, 对 应 的 数据 库存 在 于 多 个 服务 器 上 ， 
但 是 对 外 提供 服务 时 ， 均 使 用 1352 端口 。 这 类 应 用 在 配置 端口 转发 业务 时 ， 
无 需 遍 历 配置 所 有 服务 器 ， 只 需要 在 “主机 地 址 类 型 ”中 选择 “任意 IP 地 址 ” 
即 可 。 

在 实际 应 用 中 ， 端 口 转发 的 配置 和 使 用 都 十 分 简单 (SSL VPN 的 特色 嘛 )， 但 殊 不 

知 神功 练 就 的 背后 夹杂 了 多 少 泪水 ， 也 许 在 实际 的 使 用 中 用 不 到 这 些 生 个 的 内 容 ， 但 是 
相信 有 那么 一 瞬间 ， 强 叔 会 助 你 灵光 一 现 ， 发 现 更 大 的 世界 。 


8.5 网 络 扩展 


老话 说 “ 物 有 所 归 ,， 各 有 其 能 ”SSL VPN 的 这 四 大 业务 也 是 如 此 , 用 户 要 访问 Web 
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资源 就 要 用 Web 代理 业务 ; 要 访问 文件 资源 ， 就 要 用 文件 共享 业务 …… 以 此 推理 ， 大 家 
一 定 会 产生 几 个 问题 ， 强 叔 今天 要 讲 的 网 络 扩展 又 会 用 在 什么 场景 下 呢 ? 还 有 它 的 工作 
原理 是 什么 样 的 ? 为 什么 这 个 业务 要 叫 “ 网 络 扩展 ” 呢 ? 或 许 大 家 的 问题 还 很 多 ， 没 关 
系 ， 强 叔 会 在 本 节 中 对 这 些 问 题 逐 一 进行 解释 。 


8.5.1 网 络 扩展 应 用 场景 


图 8-23 是 远程 用 户 访问 企业 内 网 资源 的 一 个 场景 , 即 远程 用 户 需 要 访问 企业 内 部 的 
语音 服务 器 (SIP Server) 参加 电话 会 议 。 面 对 这 样 一 个 需求 ，SSL VPN 的 前 三 个 业务 是 
否 能 够 搞定 呢 ? 


Intemet 





图 8-23 ”网 络 扩展 应 用 场景 


我 们 先 来 分 析 一 下 ， 远 程 用户 要 访问 语音 服务 器 ， 两 者 之 间 采 用 的 是 SIP 协议 通信 ， 
而 SIP 通常 是 基于 UDP 之 上 的 一 种 应 用 协议 。Web 代理 、 文 件 共享 解决 的 是 远程 用 户 访 
问 Web 资源 和 文件 资源 的 具体 问题 ,这 两 个 业务 和 语音 资源 就 不 沾边 ， 所 以 肯定 搞 不 定 
这 个 需求 。 那 端口 转发 业务 能 不 能 解决 这 个 问题 呢 ? 答案 也 是 No。 其 原因 在 于 端口 转发 
只 能 解决 基于 TCP 的 应 用 协议 ， 而 SIP 通常 是 基于 UDP 的 协议 ， 所 以 端口 转发 业务 在 
这 个 需求 面前 也 是 爱 莫 能 助 。 难 道 堂堂 SSL VPN 连 这 个 需求 都 搞 不 定 ? 非 也 , 这 就 要 用 
到 我 们 今天 讲 的 网 络 扩展 业务 了 。 

在 防火 墙 上 开启 网 络 扩展 业务 就 可 以 实现 远程 用 户 的 这 个 需求 了 ， 因 为 网 络 扩展 业 
务 可 以 满足 远程 用 户 访问 企业 内 网 的 全 部 卫 资源 , 而 上 面 需求 中 提 到 的 基于 SIP 的 语音 
资源 就 是 卫 资源 的 一 种 。 

或 许 有 些 读 者 对 于 网 络 扩展 业务 可 以 满足 远程 用 户 访问 企业 内 网 全 部 卫 资源 这 个 
说 法 理解 得 还 不 透彻 ， 这 里 强 叔 就 结合 图 8-24 再 解释 一 下 。 

从 图 8-24 可 以 看 出 ， 用 户 的 业务 系统 种 类 繁多 ， 不 胜 枚 举 。 可 是 如 果 再 深 挖 几 层 ， 
我 们 就 会 发 现 ， 无 论 用 户 上 层 的 业务 系统 有 多 少 ， 它 终究 还 是 要 依赖 下 层 的 协议 为 其 提 
供 通 信 支 持 ， 只 是 不 同 的 业务 系统 所 使 用 的 底层 的 协议 类 型 不 同 罢了 。 

Web 代理 、 文件 共 享 所 支持 的 应 用 层 协 议 是 很 具体 的 ， 如 Web 代理 就 只 能 支持 基于 
HTTP 协议 的 应 用 ; 文件 共享 只 支持 SMB、NFS 协议 的 应 用 ; 端口 转发 已 经 支持 基于 
TCP 协议 的 所 有 应 用 了 。 但 有 了 端口 转发 业务 也 不 代表 SSL VPN 就 能 包 打 天 下 ,比如 遇 
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到 基于 UDP 协议 的 一 些 应 用 它 就 鞭 长 莫 及 了 (例如 用 户 的 电话 会 议 系 统 使 用 的 SIP 协议 
是 基于 UDP)。 要 使 SSL VPN 能 够 支持 用 户 更 多 的 应 用 ， 这 就 要 求 我 们 提供 更 低 一 层 协 
议 的 支持 ， 而 网 络 扩展 就 是 这 么 样 一 个 功能 ， 它 一 步 到 位 直接 支持 到 了 IP 层 。 所 以 ， 网 
络 扩展 业务 提供 给 远程 用 户 的 资源 类 型 更 丰富 。 





和 册 志 机 人 





af wt 网 络 扩展 位 于 的 网 络 层次 
8.5.2 ”网 络 扩展 处 理 流程 
远程 用 户 使 用 网 络 扩 展 功能 访问 内 网 资源 时 ， 其 内 部 交互 过 程 如 图 8-25 所 示 
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二 一 一 一 一 


响应 报 文 
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响应 报 广 
EE 


图 8-25 网络 扩展 功能 处 理 流程 


(1) 远程 用 户 通过 下 浏览 器 登录 虚拟 网 关 。 
(2) 远程 用 户 成 功 登录 虚拟 网 关 后 启动 网 络 扩展 功能 。 
远程 用 户 启动 网 络 扩展 功能 ， 会 触发 以 下 几 个 动作 。 
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1) 远程 用 户 与 虚拟 网 关 之 间 会 建立 一 条 新 的 SSL VPN 隧道 。 

2) 远程 用 户 本 地 PC 会 自动 生成 一 个 虚拟 网 卡 。 虚 拟 网 关 从 地 址 池 中 随机 选择 一 
个 IP 地 址 ， 分 配给 远程 用 户 的 虚拟 网 卡 ， 该 地 址 作为 远程 用 户 与 企业 内 网 之 间 通 信 
之 用 。 有 了 这 个 私 网 地 址 ， 远 程 用 户 就 如 同 企业 内 网 用 户 一 样 可 以 方便 访问 内 网 IP 
资源 。 

3) 虚拟 网 关 向 远程 用 户 下 发 到 达 企 业内 网 Server 的 路 由 信息 。 

(3) 远程 用 户 向 企业 内 网 的 Server 发 送 业务 请 求 报 文 ， 该 报 文通 过 SSL VPN 隧道 
到 达 虚 拟 网 关 。 

(4) 虚拟 网 关 收 到 报 文 后 进行 解 封装 ， 并 将 解 封装 后 的 业务 请 求 报 文 发 送 给 内 网 
Server。 

(5) 内 网 Server 响应 远程 用 户 的 业务 请 求 。 

(6) 响应 报 文 到 达 虚 拟 网 关 后 进入 SSL VPN 隧道 。 

(7) 远程 用 户 收 到 业务 响应 报 文 后 进行 解 封装 ， 取 出 其 中 的 业务 响应 报 文 。 

以 上 就 是 远程 用 户 通过 网 络 扩展 业务 访问 企业 内 网 卫 资源 的 基本 过 程 ， 我 们 可 以 对 
比 一 下 网 络 扩展 与 其 他 三 个 SSL VPN 业务 的 实现 方式 ， 我 们 不 难 发 现 ，Web 代理 、 文 件 
共享 、 端 口 转发 这 三 个 业务 实现 机 制 大 体 是 相同 的 ， 即 将 企业 网 络 的 内 部 资源 映射 到 防 
火 墙 上 ， 然 后 再 由 防火 墙 呈 现 给 远程 用 户 。 从 这 个 角度 来 看 ， 防 火 墙 只 是 做 了 一 个 安全 
代理 设备 轩 了 ， 远 程 用 户 实际 并 没有 接 入 到 企业 的 内 网 中 去 。 

而 网 络 扩 展 有 所 不 同 ,在 网 络 扩 展业 务 中 ,远程 用 户 从 防火 墙 中 获取 了 一 个 企业 
内 部 的 私 网 IP 地 址 ， 并 以 该 I 地 址 来 访问 企业 网 络 的 内 部 资源 。Internet 上 的 用 户 
有 了 企业 的 私 网 地 址 ， 用 户 本 身 就 如 同 置身 于 企业 网 络 内 部 一 样 。 换 个 角度 来 看 ， 就 
相当 于 企业 网 络 的 边界 已 经 延伸 到 了 远程 用 户 那里 ， 图 8-26 中 灰色 虚线 边框 所 围 成 
的 区 域 就 可 以 看 作 是 企业 网 络 在 Internet 上 的 延伸 ， 所 以 这 个 业务 叫 网 络 扩展 也 就 不 
难 理解 了 。 


远程 用 户 





远程 用 户 
图 8-26 网络 扩展 示意 图 


为 了 大 家 更 深入 地 了 解 网 络 扩展 的 内 部 实现 机 制 ， 强 叔 结合 上 面 的 交互 过 程 ， 
再 讲 一 下 业务 请 求 报 文 进入 VPN 隧道 以 及 从 VPN 隧道 出 来 以 后 报 文 的 封装 和 人 解 封装 
原理 。 
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8.5.3 可靠 传输 模式 和 快速 传输 模式 


网 络 扩展 功能 建立 SSL VPN 隧道 的 方式 有 两 种 : 可 靠 传输 模式 和 快速 传输 模式 。 可 
靠 传 输 模式 中 ，SSL VPN 采用 SSL 协议 封装 报 文 ， 并 以 TCP 协议 作为 传输 协议 ， 快 速 
传输 模式 中 ，SSL VPN 采用 QUIC (Quick UDP Internet Connections) 协议 封装 报 文 ， 并 
以 UDP 协议 作为 传输 协议 。QUIC 也 是 基于 TLS/SSL 协议 实现 的 数据 加 密 协 议 ， 它 的 作 
用 和 SSL 一 样 ， 只 是 经 它 封 装 的 报 文 要 基于 UDP 协议 来 传输 。 

采用 可 靠 性 传输 模式 进行 报 文 封装 的 过 程 如 图 8-27 所 示 。 从 图 中 可 以 看 出 ， 远 程 用 
户 与 企业 内 网 〈SIP Server) 之 间 通 信 的 源 地 址 (SRC: 192.168.1.1) 就 是 它 虚 拟 网 卡 的 
IP 地 址 。 期 间 的 报 文 交 互 经 过 往复 的 加 解密 之 后 安全 到 达 通 信 双 方 。 远 程 用 户 访问 SIP 
Server 时 ， 内 层 报 文 的 源 端口 是 S5880〈 随 机 )， 目 的 端口 是 5060， 传 输 协议 基于 UDP。 
外 层 报 文采 用 的 封装 协议 是 SSL， 传 输 协 议 是 TCP。 







SIP Server 
10.1.1.2 


| 业务 请 求 报 广 
业务 请 求 报 文 | @ 
@ (ssL 解 封装 : (SSL 封装 ) 


Pp 


SRC Port: 5060| SRC:10.1.1.2 
DST: 192.168.1. 





0 密 SRC Port: 443 | SRC: 1. 
DST Port: 6293| DST: 6. 


@ 业务 响应 报 广 
(SSL 封装 ) 


图 8-27 ”可靠 性 传输 模式 下 报 文 封装 过 程 


采用 快速 传输 模式 进行 报 文 封装 的 过 程 如 图 8-28 所 示 。 该 模式 下 报 文 的 封装 原理 和 
可 靠 性 模式 下 报 文 封装 原理 是 一 样 的 ， 只 是 外 层 报 文 使 用 的 封装 协议 由 SSL 改 为 QUIC, 传 
输 协 议 由 TCP 改 为 UDP。 
在 网 络 环境 不 稳定 的 情况 下 推荐 使 用 可 靠 性 传输 模式 。 而 网 络 环境 比较 稳定 的 情况 
下 ， 推 荐 使 用 快速 封装 模式 ， 这 样 数据 传输 的 效率 更 高 。 
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起 娩 地 址 | 92.168.1.1 | 


Hk |192.168.1.100 





. 10.1.1.1 kl: 让 
SIP Server 防火 墙 远程 用 户 
10.1.1.2 ( 公 网 地 址 : 6.6.6.6) 


(虚拟 网 卡 地 址 : 192.168.1.1) 





| 业务 请 求 报 文 
业务 请 求 报 文 : O 
GaQUIc 解 封 装 ) (QUIC 封装 ) 


Re ly 和 :1U.1,1. 
DATA |DST Port:5880 | DST: 192.168.1.1 





Re ly SRC Port:5060 SR 10.1. 2 
DATA |DST Port: 5880| DST:192.168.1.1 


@) 业务 响应 报 文 





务 响 应 报 文 
(QUIC 封装 ) 


图 8-28 ”快速 传输 模式 下 报 文 封 装 过 程 


8.5.4 配置 网 络 扩 展 


网 络 扩展 业务 的 配置 可 以 分 为 如 下 几 个 步骤 。 

(1) 创建 一 个 虚拟 网 关 。 

(2) 在 虚拟 网 关 下 创建 远程 用 户 、 配 置 远 程 用 户 的 认证 方式 以 及 角色 授权 。 
(3) 配置 网 络 扩展 业务 。 

其 具体 的 配置 页 面 如 图 8-29 所 示 。 


和 一 一 一 一 一 一 一 一 — oe 



























SSL VPN 卫 于 |。 a 术 民 功能 罗 过 在 守 户 当 半 而 六 同上， 从 SSL YPN 类 名 了 让 人 iP 地 址 ， 实 现 了 对 所 有 芭 于 IP 的 内 同和 的 全 面 访问 。 甩 户 区 各 访问 
。 内 站 
星 Rx “可 分 IP 地址 池 范 围 
加 喜光 源 
,时 webft 理 | | ss 
cm mass2ss0 3 
“各 市 口 转发 
回肠 红妆 全 二 
=- 汰 主机 检查 、 第 | 责 # 1 页 。， RA 和 数 5 图 1 
“Co 考 季 可 访问 内 同 同 段 列表 
办 角色 括 权 用 户 Ee 
医 证 袍 泡 ge 1 子 网 搞 耕 : Tn 
页 面 定制 - . a Pe 
ci 255.2552550 [Fd 





图 8-29 网 络 扩展 配置 
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网 络 扩 展业 务 只 需要 配置 两 个 IP 地 址 段 就 可 以 了 ,要 配 的 东西 少 ， 所 以 很 简单 。 但 
是 ， 怎 样 选取 这 两 个 人 P 地 址 段 却 是 大 有 讲究 。 

参数 1: 可 分 配 IP 地 址 池 范 围 

在 原理 部 分 强 叔 讲 过 ， 远 程 用 户 启动 网 络 扩展 功能 以 后 ， 虚 拟 网 关 会 给 远程 用 户 的 
虚拟 网 卡 分 配 IP 地 址 ， 那 这 个 地 址 从 哪里 来 ? 聪明 的 读者 应 该 已 经 猜 到 了 ， 就 是 从 这 里 
配置 的 地 址 池 中 随机 取 的 。 

这 个 地 址 池 是 由 网 络 管理 员 自行 指定 的 ， 在 指定 地 址 池 的 时 候 需 要 注意 该 地 址 池 网 
段 与 内 网 网 段 之 间 的 关系 。 如 果 这 个 地 址 段 与 内 网 网 段 10.1.1.2 设置 在 了 同一 个 子 网 中 ， 
则 远程 用 户 在 获得 虚拟 网 关 分 配 的 这 个 地 址 以 后 ， 就 相当 于 远程 用 户 和 内 网 服务 器 在 一 
个 二 层 交 换 机 下 连 着 一 样 ， 远 程 用 户 就 可 以 直接 访问 服务 器 ， 不 存在 路 由 问题 。 假 如 此 
处 的 地 址 池 和 内 网 服务 器 不 在 同一 个 网 段 (举例 中 就 没 在 同一 网 段 )， 这 里 就 需要 在 防火 
墙 上 配置 一 条 目的 地 址 是 地 址 池 网 段 (192.168.1.0)， 出 接口 是 与 Internet 相连 的 公 网 接 
口 的 路 由 。 这 条 路 由 仅 用 于 确定 安全 域 间 关系 ， 并 不 指导 报 文 转发 。 


[FW] ip route-static 192.168.1.0 255.255.255.0 GigabitEthernet0/0/2 1.1.1.2 


另外 ， 如 果 企 业内 部 有 专门 为 用 户 分 配 IP 地 址 的 服务 器 ， 如 DHCP 服务 器 、 第 三 
方 认 证 服务 器 等 ， 网 络 扩展 中 的 地 址 池 只 要 不 与 这 些 服务 器 分 配 的 地 址 段 冲 突 即 可 ， 各 
自分 配 各 自 的 卫 地 址 ， 互 不 影响 。 
参数 2: 可 访问 内 网 网 段 列 表 
前 面 强 叔 说 到 ,开启 网 络 扩展 远程 用 户 就 可 以 访问 企业 内 网 的 所 有 人 P 资源 ， 那 为 什 
么 这 里 还 有 “可 访问 内 网 网 段 ” 呢 ? 说 到 底 还 是 为 了 控制 ， 如 果 我 们 不 配置 这 个 参数 ， 
默认 远程 用 户 是 可 以 访问 内 网 的 所 有 资源 。 但 为 了 能 灵活 控制 远程 用 户 的 访问 范围 ， 我 
们 就 增加 了 这 个 功能 。 
配置 或 者 不 配 这 个 参数 ， 不 只 是 影响 用 户 访问 企业 内 网 的 范围 ， 同 时 它 还 影响 远程 
用 户 的 其 他 网 络 状 态 。 
。 如 果 网 络 扩展 中 配置 “可 访问 内 网 网 段 ”为 10.1.1.0， 则 虚拟 网 关 就 会 向 远程 用 
户 的 PC 上 推送 一 条 明细 路 由 ， 目 的 地 址 是 内 网 网 段 10.1.1.0， 出 接口 是 虚拟 网 
卡 地 址 〈 远 程 用 户 获 取 到 的 企业 内 网 的 私 网 地 址 192.168.1.1)。 


Ci route print 
IPv4 路 由 表 
活动 路 由 : 。 
”网 络 目标 网 络 掩 码 网 关 接口 。 路 点数 
0.0.0.0 0.0.0.0 10.111.78.1 10.111.78.155 10 
1 1 
10.1.1.255 255.255.255.255 在 链 路 上 192.168.1.1 257 


。 如 果 在 网 络 扩 展 中 不 配置 “可 访问 内 网 网 段 ” 这 个 参数 ， 远 程 用 户 的 路 由 又 会 是 什 
么 样 的 呢 ? 在 下 图 中 我 们 可 以 看 到 ， 虚 拟 网 关 向 远程 用 户 推送 了 一 条 缺 省 路 由 ， 出 
接口 是 虚拟 网 卡 地 址 (远程 用 户 获 取 到 的 企业 内 网 的 私 网 地 址 192.168.1.1)。 


C:\> route print 
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可 别 小 看 了 上 述 两 种 路 由 之 间 的 差异 ， 配 置 了 “可 访问 内 网 网 段 ” 时 ， 虚 拟 网 关 只 
是 下 发 一 些 到 企业 内 网 网 段 的 路 由 到 远程 用 户 ， 而 这 个 路 由 不 会 影响 到 其 他 路 由 ， 也 就 
是 说 远程 用 户 想 访 问 企业 内 网 就 访问 企业 内 网 ， 想 访问 Internet 就 访问 Internet， 这 个 访 
问 丝毫 不 受 影响 ， 是 该 干 嘛 干 嘛 。 

如 果 选 择 了 不 配置 这 个 参数 ， 那 问题 就 来 了 。 通 常 远程 用 户 访问 Internet 这 条 路 由 
是 一 条 缺 省 路 由 ， 现 在 虚拟 网 关 又 推送 过 来 一 条 缺 省 路 由 ， 而 且 虚 拟 网 关 推 送 过 来 的 这 
条 缺 省 路 由 优先 级 最 高 〈 跃 点 数 是 1)， 这 样 一 来 就 会 使 得 远程 用 户 原 有 的 缺 省 路 由 失效 ， 
即 远程 用 户 就 没 法 访问 Internet 了 。 假 如 远程 用 户 某 一 时 刻 必须 要 访问 Internet， 那 就 只 
能 和 暂时 断 开 一 下 网 络 扩展 连接 ， 想 访问 内 网 的 时 候 再 重新 启用 网 络 扩展 就 行 了 。 所 以 到 
底 选 择 哪 一 种 网 络 扩展 的 配置 方式 ， 这 就 取决 于 企业 用 户 的 需要 了 。 

网 络 扩展 业务 配置 完了 ， 我 们 下 面 再 来 看 看 远程 用 户 该 如 何 通过 网 络 扩展 功能 访问 
内 网 资源 。 


8.5.5 “登录 过 程 


SSL VPN 的 网 络 扩展 功能 向 远程 用 户 提 供 了 两 种 访问 内 网 的 途径 ， 一 种 是 使 用 IE 
浏览 器 ， 另 一 种 是 采用 独立 的 网 络 扩展 客户 端 。 

1. IE 浏览 器 

(1) 远程 用 户 在 正 浏览 器 地 址 栏 中 输入 虚拟 网 关 的 访问 地 址 。 

(2) 出 现 虚 拟 网 关 登 录 界 面 后 ， 输 入 用 户 名 和 密码 。 
(3) 登录 成 功 的 远程 用 户 可 以 在 虚拟 网 关 的 资源 页 | 
面 看 到 “网 络 扩展 ”页 签 ， 单 击 网 络 扩展 下 的 “启动 ” | 于 

| 





如 图 8-30 所 示 ， 远 程 用 户 就 会 获取 到 虚拟 网 关 为 其 分 
配 的 企业 内 网 他 地 址 ， 这 样 就 可 以 直接 访问 企业 内 网 资 
源 了 。 8-30 网络 扩展 一 一 启动 

在 介绍 报 文 封装 原理 部 分 强 叔 提 到 过 , 建立 SSL VPN 隧道 分 为 可 靠 性 传输 和 快速 传输 两 
种 模式 , 而 采用 下 浏览 器 与 虚拟 网 关 之 间 建立 的 SSL VPN 隧道 默认 使 用 的 是 快速 传输 模式 。 

2. 独立 客户 端 

(1) 远程 用 户 下 载 、 安 装 网 络 扩展 独立 客户 端 。 

远程 用 户 成 功 登录 到 虚拟 网 关 以 后 ,然后 单 击 界面 右上 角 的 “用 户 选项 ”就 可 以 看 到 网 
络 扩 展 客户 端的 下 载 链接 ， 如 图 8-31 所 示 。 安 装 也 很 简单 ， 按 照 引 导 单 击 “ 下 一 步 ” 就 行 了 。 











图 8-31 ”下载 网 络 扩展 客户 端 软件 
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使 用 独立 客户 端 好 处 在 于 ， 网 络 扩展 客户 端 可 以 在 开机 的 时 候 自 动 启用 ， 而 且 在 连 
接 断 开 时 有 自动 重 连 功能 。 而 使 用 下 浏览 器 方式 时 则 需要 每 次 都 登录 一 下 虚拟 网 关 , 所 
以 比较 麻烦 。 

(2) 登录 虚拟 网 关 。 

地 址 : 虚拟 网 关 地 址 。 

用 户 名 、 密 码 : 管理 员 为 远程 用 户 分 配 的 登录 虚拟 网 关 的 用 户 名 和 密码 。 

如 图 8-32 所 示 ， 单 击 “ 登 录 ”， 远 程 用户 就 可 以 和 内 网 用 户 一 样 访问 内 网 资源 了 。 





| 也 接 入 点 1 了 ] 地 址 


图 8-32 ”登录 虚拟 网 关 


采用 独立 客户 端 建立 SSL VPN 隧道 时 ，SSL VPN 的 隧道 建立 模式 可 以 进行 配置 。 
在 登录 界面 中 单 击 “ 选 项 ”， 然 后 在 “隧道 模式 ”中 就 可 以 选择 是 使 用 可 靠 性 传输 模式 还 
是 快速 传输 模式 。 隧 道 模式 中 还 有 个 “ 自 适应 模式 ”， 表 示 客 户 端 会 根据 网 络 环 境 自动 选 
择 采 用 可 靠 性 传输 模式 或 是 快速 传输 模式 建立 SSL VPN 隧道 。 
如 果 已 经 启用 了 网 络 扩 展 功 能 ， 那 远程 用 户 怎么 判断 自己 的 网 络 扩展 功能 是 不 是 生 
效 了 呢 ? 这 可 以 看 两 个 指标 ， 首 先 需要 用 ipeonfig 命令 看 一 下 远程 用 户 有 没有 获取 到 虚 
拟 网 关 分 配 的 私 网 地 址 。 按 照 上 面 的 例子 ， 如 果 启 用 网 络 扩展 以 后 ， 远 程 用 户 获得 了 一 
个 192.168.1.0 网 段 内 的 耳 地 址 。 那 么 ， 恭 喜 ! 您 已 经 成 功 接 入 到 企业 的 内 网 中 了 。 
第 二 个 指标 就 是 远程 用 户 尝试 一 下 ， 看 能 不 能 访问 企业 内 网 的 资源 。 
我 们 经 常会 碰 到 这 样 一 些 情况 ， 就 是 远程 用 户 已 经 获取 到 虚拟 网 关 分 配 的 卫 地 址 
了 ， 但 就 是 无 法 访问 内 网 资源 ， 这 又 是 怎么 回 事 呢 ? 总 体 来 说 碰 到 这 样 的 情况 有 两 个 原 
因 ， 如 下 。 
。 一 是 远程 用 户 没 有 访问 这 个 内 网 资源 的 业务 权限 (比如 研发 人 员 没 有 访问 财务 系 
统 的 权限 )。 
。 二 是 我 们 在 配置 网 络 扩展 业务 时 ,“ 可 访问 内 网 网 段 ” 中 没有 包含 远程 用 户 要 访 
问 的 内 网 资源 所 在 的 网 段 。 
这 两 个 问题 也 好 解决 ， 要 么 远程 用 户 向 网 络 管理 者 申请 业务 权限 ;要么 网 络 管理 者 
在 防火 墙 上 检查 一 下 ， 看 是 不 是 把 内 网 资源 都 添加 进来 了 。 
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8.6 配置 角色 授权 


在 SSL VPN 业务 中 企业 管理 员 可 以 为 不 同 的 用 户 定制 不 同 的 “特色 菜单 ” 实现 对 Web 
资源 和 非 Web 资源 的 访问 控制 。 在 华为 防火 墙 中 ， 不 同 用 户 对 多 个 资源 的 访问 控制 是 通过 
角色 授权 完成 的 ， 一 个 角色 中 的 所 有 用 户 拥有 相同 的 权限 。 角 色 是 连接 用 户 /组 与 业务 资源 
的 桥梁 ， 管 理 员 可 以 将 权限 相同 的 用 户 或 组 加 入 到 某 个 角色 ， 然 后 在 角色 中 关联 业务 资源 。 

如 图 8-33 所 示 ， 和 角色 中 可 以 包含 多 个 用 户 / 组 ， 同 时 还 可 以 关联 多 个 业务 资源 项 。 





\10.1.1.2\b 


图 8-33 角色、 用 户 /用 户 组 与 资源 的 关系 


其 中 角色 可 以 关联 的 具体 控制 项 如 下 。 

。 业务 授权 (启用 ): 指定 角色 内 用 户 可 以 使 用 的 业务 , 包括 Web 代理 、 文件 共享 、 
端口 转发 和 网 络 扩展 。 

。 资源 授权 : 对 于 Web 代理 、 文 件 共享 和 端口 转发 业务 ， 在 业务 已 经 启用 的 前 提 下 ， 
指定 具体 可 以 访问 的 资源 。 如 果 不 指定 具体 资源 ， 角 色 内 用 户 无 法 访问 任何 资源 。 
对 于 网 络 扩展 业务 ， 在 业务 已 经 启用 的 前 提 下 ， 可 以 使 用 基于 用 户 的 安全 策略 来 对 远 

程 用 户 访问 资源 的 行为 进行 权限 控制 , 具体 介绍 请 参见 “8.7.2 网 络 扩展 场景 下 配置 安全 策略 ”。 

按照 以 上 思路 我 们 为 普通 员工 和 管理 者 创建 不 同 的 角色 〈usera 和 master)， 然 后 再 为 

其 指定 不 同 资源 ， 这 样 就 可 以 实现 按 “角色 ”进行 细 粒 度 资源 访问 控制 。 如 图 8-34 所 示 。 


普通 员工 角色 组 管理 者 角色 组 







关联 用 户 (组 ) 二 = 图 要 丰 
业务 启用 
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完成 以 上 配置 后 ， 普 通 员 工 和 管理 者 登录 虚拟 网 关 后 就 会 看 到 各 自 的 资源 界面 ， 如 
图 8-35 所 示 。 


普通 员工 usera 登 录 后 的 看 到 的 资源 界面 管理 者 master 登 录 后 看 到 的 资源 界面 











welcome 
|0 习 和 4 机) 共 2 六 站 司 司 轩 到 fF 习 
Cte Poy 本 出 区 
def 


welcome 


EE ES 注入 基 码 - 1{ 基 3 栅 ) 。 共 ?和 痪 潭 辐 司 加 悦 「 习 











图 8-35 用 户 登 录 后 的 资源 界面 


8.7 ”配置 安全 策略 


Web 代理 、 文 件 共享 和 端口 转发 场景 下 配置 安全 策略 的 作用 是 实现 网 络 层 互通 ， 如 
果 要 对 远程 用 户 访问 资源 进行 权限 控制 ， 请 参见 前 面 我 们 介绍 过 的 “资源 授权 ”的 内 容 。 

SSLVPN 的 安全 策略 配置 思路 与 IPSec 相似 ， 先 在 防火 墙 上 配置 一 个 比较 宽泛 的 安 
全 策略 ， 保 证 SSL VPN 业务 正常 运行 ， 然 后 通过 分 析 会 话 表 ， 得 到 精细 化 的 安全 策略 匹 
配 条 件 ， 具 体 过 程 可 以 参考 “第 6 章 IPSec VPN” 中 的 介绍 。 

下 面 我 们 针对 Web 代理 /文件 共享 /端口 转发 场景 和 网 络 扩展 场景 ， 分 别 给 出 这 两 种 
场景 下 安全 策略 的 配置 过 程 。 


8.7.1 ”Web 代理 /文件 共享 /端口 转发 场景 下 配置 安全 策略 


Web 代理 、 文 件 共 享 和 端口 转发 场景 下 配置 安全 策略 的 作用 是 实现 网 络 层 互通 ， 如 
果 要 对 远程 用 户 访问 资源 进行 权限 控制 , 请 参见 前 面 我 们 介绍 过 的 “资源 授权 ”的 内 容 。 

以 文件 共享 访问 服务 为 例 , 远程 用 户 和 防火 墙 FW 之 间 建 立 SSL VPN 隧道 , 远程 用 
户 访 问 文件 服务 器 Server， 如 图 8-36 所 示 。 假 设 在 FW 上 ，GE0/0/1 接口 连接 私 网 ， 属 
于 DMZ 区域 ，GE0/0/2 接口 连接 Internet， 属 于 Untrust 区 域 。 






图 8-36 ”SSL VPN 文件 共享 应 用 
远程 用 户 向 Server 发 起 访问 成 功 后 ， 在 FW 上 可 以 看 到 如 下 会 话 表 。 
Current Total Sessions : 4 ， 

https VPN:public -> public ID: a48f3629814102f62540ade7f 
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~ Zone: untrust—> local TTL:00:10:00 Left 00:09:52 

Output-interface: InLoopBack0 ”NextHop: 127.0.0.1 MAC: 00.00.00.00.00.00 
<--packets:436 bytes:600276 。 -->packets:259 bytes:32089 
«41.64.179:41066>4.1.64.12:443 / 键 立 SSL VPN 隧道 的 报 文 


i VPN public -> public ID: a48f3629815b06fd6540ade7f 
Zone: untrust—> local TTL: 00:10:00 Left: 00:09:52 
Output-interface: InLoopBack0 = NextHop: 127.0.0.! MAC: 00-00-00-00-00-00 
<--packets:291 bytes:395991 -->packets:176 bytes:26066 
4.1.64.179:41067-->4.1.64.12:443 /建立 SSL VPN 隧道 的 报 文 





‘wp_VENpublie -> publio ID: a48B629818f0c229540adegd 
和、 dmz TTL: 00:00:10 Left: 00:00:02 、 0 
OU GigabitEthemet0/0/1 NextHop: 4.0.2.11 MAC: 78-ac-c0-ac-93-7f ae 5 oes 
packets:8 bytes:614 
4.0.2.1:10013-->4.0.2.11:445 /防火 墙 作为 代理 访问 Server 的 报 文 





netbios-session VPN:public -> public ID: a58f3629817501ad8a540ade8d 
: TTL: 00:00:10 Left: 00:00:02 
Output-interface: GigabitEthernet0/o/1 = NextHop: 115.1.1.2 MAC: 78-ac-cO-ac-93-7f 





<--packets:] bytes:40 ”一 >packets:1 bytes:44 
”4.0.2.1:10012-->4.0.2.11:139 / 蒋 火 墙 作为 代理 访问 server 的 报 文 


建立 SSL VPN 隧道 的 报 文 触发 建立 了 两 条 相同 的 会 话 : 一 条 是 登录 时 建立 的 ， 并 一 
条 是 访问 业务 资源 时 建立 的 。 
分 析 以 上 会 话 表 可 以 得 到 FW 上 的 报 文 走向 ， 如 图 8-37 所 示 。 






远程 用 户 | | Se 
4.0.2.11/24 
sse 和 建立 SSL VPN 隧道 的 报 文 
一 -一 > 防火 墙 作为 代理 访问 Server 的 报 文 
8-37 FW 上 的 报 文 走向 


由 图 8-37 可 知 ，FW 上 需要 配置 Untrust 区 域 -->Local 区 域 的 安全 策略 ， 允 许 远程 用 
户 与 FW 建立 SSL VPN 隧道 ; 还 需要 配置 Local 区 域 -->DMZ 区 域 的 安全 策略 , 允许 FW 
代理 远程 远程 用 户 来 访问 Server。 

Web 代理 /端口 转发 功能 与 文件 共享 的 安全 策略 配置 思路 是 完全 一 样 的 ， 总 结 一 下 ， 
针对 以 上 三 个 功能 应 该 在 防火 墙 上 配置 的 安全 策略 匹配 条 件 如 表 8-7 所 示 。 

表 8-7 安全 策略 匹配 条 件 


*#: 设备 使 用 的 端口 请 以 实际 情况 为 准 

#*#: 对 于 USG6000 系列 防火 墙 ， 虽 然 在 会 话 表 中 显示 的 源 地 址 是 接口 的 私 网 地 址 ， 但 实际 配置 时 源 地 址 必须 指 
定 为 ANY; 对 于 USG2000/5000 系列 防火 墙 ， 实 际 配 置 时 源 地 址 可 以 指定 为 接口 的 私 网 地 址 

***，。 此 处 以 文件 共享 业务 为 例 ， 如 果 是 Web 代理 和 端口 转发 业务 ， 请 以 实际 情况 为 准 














TCP+443* 


TCP+139 
TCP+445*** 


远程 用 户 访 问 


Server 
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8.7.2 ”网 络 扩展 场景 下 配置 安全 策略 


网 络 扩展 场景 下 配置 安全 策略 的 作用 是 实现 网 络 层 互 通 ， 另 外 还 可 以 通过 安全 策略 
来 对 远程 用 户 访问 资源 进行 权限 控制 。 

远程 用 户 和 防火 墙 之 间 建 立 SSL VPN 隧道 , 并 使 用 网 络 扩展 业务 访问 企业 内 网 服务 
器 Server。 假 设 在 防火 墙 上 ，GE0/0/1 接口 连接 私 网 ， 属 于 DMZ 区 域 ，GE0/0/2 接口 连 
接 Internet， 属 于 Untrust 区 域 。 

网 络 扩展 中 ， 服 务 器 Server 与 虚拟 网 关 地 址 池 是 否 在 同一 网 段 ， 会 影响 业务 报 文 经 
过 的 安全 区 域 ， 因 此 域 间 安全 策略 的 配置 还 需要 分 以 下 两 种 情况 讨论 。 

1. Server 与 虚拟 网 关 地 址 池 在 同一 网 段 

Server 与 虚拟 网 关 地 址 池 在 同一 网 段 时 的 组 网 环境 如 图 8-38 所 示 。 


DMZ 


Untrust 
公 网 地 址 : 6.6.6.6 







本 加 La 远程 用 户 
3 a GEO/ 


Server 
10.1.1.2 私 用 地 址 : 10.1L110 


DMZ 


8-38 ”Server 与 虚拟 网 关 地 址 池 在 同一 网 段 时 的 网 络 扩展 应 用 


Server 与 虚拟 网 关 地 址 池 在 同一 网 段 ， 意 味 着 得 到 私 网 卫 地 址 的 远程 用 户 跟 Server 
处 于 同一 网 段 ， 当 然 也 处 于 同一 安全 区 域 DMZ。 

远程 用 户 通过 网 络 扩展 访问 Server 成 功 后 , 我 们 在 FW 上 看 到 的 会 话 表 恰好 验证 了 
这 个 结论 。 


<FW> display firewall session table verbose 
Current Total Sessions : 3 
https VPN:public -> public ID: a48f3fc25ef7084f654bfcacd 
Zone: untrust-->local TTL: 00:00:10 Left:00:00:02 
Output-interface: InLoopBack0 = NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00 
<--packets:10 bytes:2577 ~—>packets:9 bytes:804 
6.6.6.6:50369-->1.1.1.1:443 _ // 建 立 SSL VPN 隧道 的 报 文 


iemp VPN:public --> public ID:a58f3fc25f2b05940054bfeb3f 

Zone: dmz--> dmz TTL: 00:00:20 Left:00:00:13 User: huibo 
Output-interface: GigabitEthernetO/0/1 “NextHop: 10.1.1.2 MAC: 00-22-a1-0a-eb-7d 
<--packets:3 bytes:180  -->packets:4 bytes:240 

10.1.1.10:1-->10.1.1.2:2048 /远程 用 户 访问 Server 的 原始 报 文 
https_ VPN:public --> public ID: a58f3fc25f1107f81954bfcace 

Zone: untrust—> local TTL: 00:10:00 Left: 00:09:55 

Output-interface: InLoopBack0 NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00 
<--packets:34 bytes:4611 é -->packets:44 bytes:14187 
6.6.6.6:58853-—>1.1.1.1:443 // 建 立 SSL VPN 隧道 的 报 文 
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建立 SSL VPN 隧道 的 报 文 触发 建立 了 两 条 相同 的 会 话 : 一 条 是 登录 时 建立 的 ; 另 一 
条 是 启动 网 络 扩展 时 建立 的 。 
分 析 以 上 会 话 表 可 以 得 到 防火 墙 上 的 报 文 走 向 ， 如 图 8-39 所 示 。 


大 


远程 用 户 
公 网 地 址 :6.6.6.6/24 
虚拟 网 卡 地 址 :10.1.1.10/24 FW 10.1.1.2/24 








一 -了 >” 建立 SSL VPN 隧道 的 报 文 


---- 和 > ”远程 用 户 访问 Server 的 原始 报 文 
图 8-39 ”服务 器 Server 与 虚拟 网 关 地 址 池 在 同一 网 段 时 防火 墙 上 的 报 文 走向 


由 图 8-29 可 知 , 需要 配置 Untrust-->Local 的 安全 策略 ， 允 许 远程 用 户 与 防火 墙 之 间 
建立 SSL VPN 隧道 ， 还 需要 配置 DMZ-->DMZ 的 安全 策略 ， 保 证 业务 报 文 能 够 通过 
(USG6000 系列 防火 墙 默 认 情 况 下 不 允许 报 文 在 安全 区 域 之 内 流动 ， 所 以 这 条 安全 策略 
必须 配置 。USG2000/5000 系列 防火 墙 没 有 这 个 限制 )。 

综 上 ， 防 火 墙 上 应 该 配置 的 安全 策略 匹配 条 件 如 表 8-8 所 示 。 


表 8-8 安全 策略 匹配 条 件 










可 靠 传输 模式 : 
TCP+443 
Untrust Local ANY 1.1.1.1/32 快速 传输 模式 ， 


TCP+UDP+443* 





10.1.1.0/24 
DMZ DMZ ( 即 虚拟 网 卡 地 址 | 10.1.1.2/32 
池 对 应 的 网 段 ) 


*#: 设备 使 用 的 端口 请 以 实际 情况 为 准 。 上 文 是 以 远程 用 户 使 用 可 靠 传输 模式 建立 SSL VPN 隧道 为 例 。 当 以 快速 
传输 模式 建立 隧道 时 ， 在 Untrust-->Local 域 间 还 会 产生 UDP 会 话 ， 此 时 需要 在 安全 策略 中 配置 此 应 用 

*#*#:; 除了 源 地 址 之 外 ，USG6000 系列 防火 墙 还 支持 基于 用 户 的 安全 策略 ， 可 以 将 远程 用 户 的 用 户 名 作为 匹配 条 
件 来 配置 安全 策略 。 与 源 地 址 相 比 ， 以 用 户 名 作为 匹配 条 件 时 更 加 直观 和 精确 。 

***。 此 处 的 应 用 与 具体 的 业务 类 型 有 关 ， 可 以 根据 实际 情况 配置 ， 如 ttp、udp、icmp 等 


2. 服务 器 Server 与 虚拟 网 关 地 址 池 不 在 同一 网 段 

Server 与 虚拟 网 关 地 址 池 不 在 同一 网 段 时 的 组 网 环境 如 图 8-40 所 示 。 

Server 与 虚拟 网 关 地 址 池 不 在 同一 网 段 ， 意 味 着 得 到 私 网 IP 地 址 的 远程 用 户 跟 
.Server 处 于 不 同 网 段 ， 当 然 也 处 于 不 同安 全 区 域 。 那 么 远程 用 户 到 底 属于 哪个 安全 区 
域 呢 ? 

如 果 虚 拟 网 关上 没有 到 192.168.1.0/24 这 个 网 段 的 路 由 ， 虚 拟 网 关 就 无 法 确定 远程 
用 户 所 属 的 源 安全 域 ， 会 将 其 发 来 的 报 文 丢弃 。 为 了 解决 这 个 问题 ， 我 们 需要 手工 配置 
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一 条 目的 地 址 为 虚拟 网 关 地 址 池 【 网 段 192.168.1.0/24) 的 路 由 ， 出 接口 可 以 由 管理 员 自 
行 选择 。 也 就 是 说 此 时 这 个 报 文 的 源 安全 域 是 什么 ， 取 决 于 我 们 配置 的 这 条 路 由 的 出 接 
口 是 哪 个 接口 。 我 们 在 “8.5.4 配置 网 络 扩展 ”中 介绍 过 这 部 分 的 内 容 。 


2 168.1.1 
结束 闻 直 





(目的 网 段 )| (出 接口 ) 
| 


图 8-40 Server 与 虚拟 网 关 地 址 池 不 在 同一 网 段 时 的 网 络 扩展 应 用 





通常 我 们 认为 这 个 报 文 是 从 Internet 方向 上 过 来 的 , 来 自 于 Untrust 域 。 因此, 我 
们 在 配置 路 由 的 时 候 , 会 把 路 由 的 出 接口 配置 为 与 Internet 相连 的 公 网 接口 GE0/0/2。 
有 了 这 条 路 由 做 前 提 后 , 可 以 确定 远程 用 户 访问 Server 的 流量 属于 从 Untrust 到 DMZ 
的 流量 。 

远程 用 户 通 过 网 络 扩 展 访 问 Server 成 功 后 , 我 们 在 FW 上 看 到 的 会 话 表 恰 好 验证 了 
这 个 结论 。 

<FW> display firewall session table verbose 

Current Total Sessions : 3 


https VPN:public --> public ID: a58f3fe3a31502f49354bfeccf 

Zone: untrust—> local TTL: 00:10:00 Left: 00:10:00 = 
Output-interface: InLoopBack0 «= NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00 
ed >packets:54 bytes:20751 

. 5:51668--: 1:4. /建立 SSLVPN 隧道 的 报 文 





iemp VPN: at lt. ID: a58f3fe3a36302f8d854bfed3d 

Zone: antrust-> dmz TTL:00:00:20 Lefi:00:00:20 Userhuibo 
Output-interface: GigabitEthemetO/0/1 NextHop: 10.1.1.2 MAC: 00-22-a1-0a-eb-7d 
<--packets:3 bytes:180 。” ->packets:3 bytes:180 

ER tb // 远 程 用 户 访问 Server 的 远程 报 文 


hups VPN:public -> public ID: a58f3fe3a2fb03e68154bfecce 
Zone: untrust—> local TTL: 00:10:00 Left: 00:08:08 
Oat Int oa NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00 
<--packets:6 bytes:2417 & ~->packets:7 bytes:724 
6.6.6.6:51255—>1.1.1.1:443 /建立 SSL VPN 隧道 的 报 文 
分 析 以 上 会 话 表 可 以 得 到 防火 墙 上 的 报 文 走向 ， 如 图 8-41 所 示 。 
由 图 8-41 可 知 ， 需 要 配置 Untrust-->Local 的 安全 策略 ， 人 允许 远程 用 户 与 防火 墙 之 
间 建 立 SSL VPN 隧道 ， 还 需要 配置 Untrust-->DMZ 的 安全 策略 ， 保 证 业务 报 文 能 够 
综 上 所 述 ， 防 火 墙 上 应 该 配置 的 安全 策略 匹配 条 件 如 表 8-9 所 示 。 
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所 站 
远程 用 户 > 


公 网 地 址 :6.6.6.6 Server 
虚拟 网 卡 地 址 :192.168.1.1/24 FW 10.1.1.2/24 





一 -> 建立 SSL VPN 隧道 的 报 文 


~--- 罗 ”远程 用 户 访问 Server 的 原始 报 文 
8-41 ”服务 器 Server 与 虚拟 网 关 地 址 池 不 在 同一 网 段 时 防火 墙 上 的 报 文 走向 














可 靠 传输 模式 : 
TCP+443 
快速 传输 模式 : 
TCP+UDP+443* 






Untrust Local ANY 1.1.1.1/32 


192.168.1.0/24( 即 
Untrust DMZ 虚拟 网 卡 地 址 池 对 | 10.1.1.2/32 
应 的 网 段 ) 


*; 设备 使 用 的 端口 请 以 实际 情况 为 准 。 上 文 是 以 远程 用 户 使 用 可 靠 传输 模式 建立 SSL VPN 隧道 为 例 。 当 以 快速 
传输 模式 建立 隧道 时 ， 在 Untrust-->Local 域 间 还 会 产生 UDP 会 话 ， 此 时 需要 在 安全 策略 中 配置 此 应 用 

**#: 除了 源 地 址 之 外 ，USG6000 系列 防火 墙 还 支持 基于 用 户 的 安全 策略 ， 可 以 将 远程 用 户 的 用 户 名 
作为 匹配 条 件 来 配置 安全 策略 。 与 源 地 址 相 比 ， 以 用 户 名 作为 匹配 条 件 时 更 加 直观 和 精确 。 

##*#: 此 处 的 应 用 与 具体 的 业务 类 型 有 关 ， 可 以 根据 实际 情况 配置 ， 如 tcp、udp、icmp 等 







8.8 SSL VPN 四 大 功能 综合 应 用 


很 多 读者 看 完 网 络 扩展 以 后 ， 大 都 会 有 这 样 的 困惑 ， 既 然 网 络 扩展 这 人 么 厉害 ， 那 不 
管用 户 想 访问 什么 类 型 的 内 网 资源 ， 直 接 为 其 开通 网 络 扩展 业务 就 可 以 ， 为 何 还 要 搞 
Web 代理 、 文 件 共享 呢 ? 

这 个 问题 是 个 关键 ，SSL VPN 之 所 以 提供 这 么 多 不 同 层面 、 不 同 粒度 的 业务 ， 就 是 
为 了 控制 远程 用 户 对 内 网 系统 的 访问 权限 ， 说 到 底 就 一 个 目的 ， 为 了 安全 。 使 用 网 络 扩 
展业 务 以 后 ， 意 味 着 这 个 远程 用 户 就 能 访问 企业 内 网 所 有 类 型 的 资源 了 ， 这 虽然 方便 了 
用 户 ， 但 也 无 疑 会 增 大 内 网 资源 的 管控 风险 。 如 何在 满足 用 户 需 求 的 同时 将 权限 控制 做 
到 恰到好处 ， 这 就 需要 根据 用 户 的 需求 为 其 配置 不 同 的 业务 了 ， 从 而 规避 上 述 问题 。 

假设 某 企 业 部 署 了 防火 墙 设 备 ， 为 企业 出 差 员工 提供 SSL VPN 业务 ， 其 网 络 如 
图 8-42 所 示 。 

企业 远程 用 户 访问 内 网 的 需求 以 及 在 防火 墙 上 为 出 差 员 工 开通 SSL VPN 业务 的 规 
划 如 表 8-10 所 示 。 
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图 8-42 ”SSL VPN 综合 应 用 






SSL VPN 业务 规划 
2 oe 






在 Web 代理 业务 中 创建 www.oa.com 这 条 资源 ， 将 此 
访问 OA 系统 资源 与 普通 员工 或 普通 员工 所 属 的 组 进行 绑 定 


普通 员工 
使 用 企业 的 邮件 在 端口 转发 业务 中 创建 一 条 邮件 服务 器 的 资源 ， 将 此 





系统 收发 邮件 资源 与 普通 员工 或 普通 员工 所 属 的 组 进行 绑 定 





在 Web 代理 业务 中 创建 www.oa.com (已 创建 )、www. 
财务 系统 Web 代理 | finance.com 这 两 条 资源 , 将 此 资源 与 管理 者 或 管理 者 
i 所 属 的 组 进行 绑 定 


于 在 文件 共享 中 业务 中 创建 一 条 文件 服务 器 资源 ， 将 此 
访问 文件 服务 器 | 文件 共享 | 资源 与 管理 者 或 管理 者 所 属 的 组 进行 绑 定 
管理 者 


全 用 生 业 的 二 人 在 端口 转发 业务 中 创建 一 条 文件 服务 器 资源 , 并 将 
端口 转发 | 邮件 服务 器 资源 与 管理 者 或 管理 者 所 属 的 组 进行 
系统 收发 邮件 ye 


启用 网 络 扩展 功能 ， 并 将 语音 服务 器 所 在 的 地 址 配置 
召开 电话 会 议 网 络 扩展 | 到 “可 访问 内 网 网 段 ” 中 ， 然 后 将 网 络 扩展 业务 与 管 
理 者 或 管理 者 所 在 的 组 进行 绑 定 


访问 OA 系统 和 




















网 络 业务 配置 完成 后 ， 不 同 身份 的 用 户 在 登录 虚拟 网 关 后 所 能 看 到 的 业务 资源 也 不 
相同 。 

1. 普通 员工 

普通 出 差 员 工 在 登录 虚拟 网 关 后 ,可 以 看 到 自己 所 能 访问 的 资源 连接 ， 如 图 8-43 所 
示 ， 单 击 链接 就 可 以 访问 该 资源 。 
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图 8-43 普通 员工 的 登录 界面 


2. 管理 者 
出 差 的 管理 者 在 登录 虚拟 网 关 后 可 以 看 到 图 8-44 所 示 的 界面 。 
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点 击 按 讯 容 动 引 公 后 可 以 访问 向 网 资 丰 。 


图 8-44 管理 者 的 登录 界面 


其 中 Web 代理 、 文 件 共享 资源 都 是 以 链接 形式 供用 户 选择 。 端 口 转发 和 网 络 扩展 需 
要 单 击 “ 启 动 ” 以 后 才能 使 用 。 但 是 远程 用 户 如 何 知 道 自 己 点 了 启动 以 后 能 访问 企业 的 
哪些 内 网 资源 呢 ? 这 个 就 需要 网 络 管理 员 通 过 其 他 途径 ， 例 如 网 络 公 告 之 类 的 将 企业 内 
网 的 资源 服务 器 域名 、 地 址 告知 远程 用 户 。 在 这 一 点 上 ，Web 代理 、 文 件 共 享 相对 有 优 
越 性 ， 因 为 远程 用 户 在 使 用 这 两 种 业务 的 时 候 ， 自 己 能 够 访问 哪些 资源 ， 这 在 登录 到 虚 
拟 网 关 以 后 是 可 以 从 资源 列表 中 看 到 的 。 

远程 用 户 访问 企业 内 网 的 需求 与 防火 墙 上 开启 何 种 SSL VPN 业务 之 间 的 对 应 关系 
可 以 归纳 成 两 点 。 

。 远程 用 户 访问 企业 内 网 的 资源 类 型 (Web 资源 、 文 件 资源 、TCP、 卫 ) 决定 了 网 

络 管理 员 应 该 选择 SSL VPN 的 何 种 业务 。 
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例如 ， 出 差 员工 只 需要 访问 Web 资源 和 邮件 资源 ， 就 为 该 用 户 启用 Web 代理 和 端 
口 转发 两 种 业务 。 而 管理 者 需要 访问 4 种 类 型 的 资源 ， 那 就 需要 为 其 开启 4 种 业务 。 

需要 说 明 的 是 ， 网 络 扩展 由 于 兼备 了 前 三 种 业务 的 功能 ， 如 果 说 为 了 配置 方便 ， 也 
可 以 只 为 管理 者 开启 网 络 扩展 业务 ， 让 管理 者 可 以 访问 内 网 所 有 的 卫 资源 。 

e 远程 用 户 是 否 拥有 对 某 一 资源 的 访问 权限 ， 这 是 通过 角色 授权 配置 来 决定 的 。 

为 了 避免 为 每 个 员工 逐一 配置 业务 授权 ， 可 以 建立 普通 员工 和 管理 者 两 个 组 ， 然 后 
将 这 两 类 员工 都 加 入 到 相应 的 组 中 ， 再 为 这 两 个 角色 组 进行 业务 授权 即 可 。 

例如 ， 出 差 员 工 和 管理 者 同样 都 开启 了 Web 代理 业务 ， 出 差 员 工 只 能 访问 OA 系统 
Cwww.oa.com)， 而 管理 者 却 同时 拥有 访问 OA 系统 和 财务 系统 (www.finance.com) 的 权 
限 ， 这 就 是 在 角色 授权 中 配置 的 。 


强 叔 提 问 


1. SSL 握手 协议 中 , 为 了 解决 公 钥 加 密 法 的 算法 复杂 ， 加 解密 计算 量 大 的 问题 ， 采 
用 了 何 种 方法 提升 效率 ? 

2. 文件 共享 功能 支持 新 建文 件 吗 ? 

3. 出 差 员 工 登 录 SSL VPN 后 ， 发 现 资源 列表 空空 如 也 ， 此 时 忽然 想起 管理 员 给 了 
他 一 个 锦 衷 妙计。 各 位 ， 你 能 猜 到 锦 襄 的 内 容 吗 ? 
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在 前 面 几 章 中 ， 强 叔 为 大 家 讲解 了 防火 墙 的 各 种 基本 功能 。 之 前 强 叔 讲 到 的 都 是 在 
一 台 防 火 墙 上 配置 各 种 功能 ， 而 为 了 提升 网 络 的 可 靠 性 ， 我 们 经 常 需要 在 两 台 防火 墙 上 
配置 相同 的 功能 并 使 它们 相互 备份 。 那 么 这 是 如 何 做 到 的 呢 ? 
这 就 需要 用 到 强 叔 本 章 为 大 家 带 来 的 防火 墙 一 大 特色 功能 





双 机 热 备 。 
9.1 双 机 热 备 概述 


9.1.1 ” 双 机 部 署 提 升 网 络 可 靠 性 


随 着 移动 办 公 、 网 上 购物 、 即 时 通信 、 互 联网 金融 、 互 联网 教育 等 业务 蓬勃 发 展 ， 
网 络 承载 的 业务 越 来 越 多 ， 越 来 越 重要 。 
所 以 如 何 保证 网 络 的 不 间断 传输 成 为 网 络 
发 展 过 程 中 急需 解决 的 一 个 问题 。 

如 图 9-1 中 的 左 图 所 示 ， 防 火 墙 部 署 
在 企业 网 络 出 口 处 ， 内 外 网 之 间 的 业务 都 
会 通过 防火 墙 转发 。 如 果 防 火 墙 出 现 故 障 ， 
便 会 导致 内 外 网 之 间 的 业务 全 部 中 断 。 由 
此 可 见 ， 在 这 种 网 络 关 键 位 置 上 如 果 只 使 
用 一 台 设 备 的 话 ， 无 论 其 可 靠 性 多 高 ， 我 
们 都 必然 要 承受 因 设 备 单 点 故障 而 导致 网 
络 中 断 的 风险 。 

于 是 ， 我 们 在 网 络 架 构 设 计时 ， 通 常 
会 在 网 络 的 关键 位 置 部 署 两 台 〈 双 机 ) 或 
多 台 设 备 ， 以 提升 网 络 的 可 靠 性 。 如 图 9-1 
中 的 右 图 所 示 ， 当 一 台 防 火 墙 出 现 故障 时 ， 
流量 会 通过 另外 一 台 防 火 墙 所 在 的 链 路 转 
发 ， 保 证 内 外 网 之 间 业 务 正常 运行 。 


9.1.2 ”路 由 器 的 双 机 部 署 只 需 考虑 路 由 备份 


如 果 是 传统 的 网 络 转发 设备 〈 如 路 由 器 、 三 层 交 换 机 )， 只 需要 在 两 台 设备 上 做 好 
路 由 的 备份 就 可 以 保证 业务 的 可 靠 性 。 因 为 普通 的 路 由 器 、 交 换 机 不 会 记录 报 文 的 交互 
状态 和 应 用 层 信息 ， 只 是 根据 路 由 表 进 行 报 文 转发 ， 下 面 举 个 例子 来 说 明 。 

如 图 9-2 所 示 ， 两 台 路 由 器 Rl1 和 R2 与 上 下 行 设备 R3 和 R4 之 间 运 行 OSPF 协议 。 
正常 情况 下 ， 由 于 以 太 网 接口 的 缺 省 OSPF Cost 值 为 1， 所 以 在 R3 上 看 R1 所 在 链 路 
(R3->R1->R4->FTP 服务 器 ) 的 Cost 值 为 3。 而 由 于 我 们 在 R2 链 路 (R3->R2->R4->FTP 
服务 器 ) 的 各 接口 上 将 OSPF Cost 值 设 置 为 10， 所 以 在 R3 上 看 R2 所 在 链 路 的 Cost 值 
为 21。 由 于 流量 只 会 通过 Cost 值 小 的 链 路 转发 ， 所 以 FTP 客户 端 与 服务 器 间 的 业务 就 
都 只 会 通过 RI1 转发 。 





图 9-1 双 机 部 署 提升 网 络 可 靠 性 
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EthO/0/0 
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Eth0/0/0 
10.1.1.1/24 


EthO/0/1 
10.1.2.1/24 


GE0/0/0 
192.168.1.1/24 


FTP 客户 端 


192.168.1.10/24 ---- 和 流量 


图 9-2 流量 选择 路 由 Cost 值 小 的 链 路 转发 


由 于 OSPF 协议 只 会 选择 最 优 的 路 由 加 入 路 由 表 ， 所 以 在 下 面 R3 的 路 由 表 中 只 能 
看 到 Cost 值 较 小 的 路 由 。 这 样 去 往 FTP 服务 器 (目的 地 址 在 1.1.1.0/24 网 段 ) 的 报 文 只 
能 通过 Rl1 (下 一 跳 10.1.1.2) 转发 。 


NN 






如 图 9-3 所 示 ， 当 R1 出 现 故障 时 ，R1 所 在 链 路 Cost 值 变 成 无 穷 大 ， 而 在 R3 上 看 
R2 所 在 链 路 Cost 值 仍 为 21。 这 时 网 络 的 路 由 会 重新 收敛 ， 流 量 会 根据 新 的 路 由 被 转发 
到 R2， 所 以 R2 会 接替 R1 处 理 业 务 。 业 务 从 RI1 切换 到 R2 的 时 间 就 是 网 络 的 路 由 收敛 
时 间 。 如 果 路 由 收敛 时 间 较 短 ， 则 正在 传输 的 业务 不 会 中 断 。 
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GEO/0/0 
1.1.1.1/24 


EthO/O/1 
10.1.4.2/24 


10.1.1.2/24 






EthO/O/0 
10.1.1.1/24 





10.1.2.1/24 


GEO/O/0 
! 192.168.1.1/24 


汉 故障 
----> 流量 
图 9-3 路 由 备份 保证 业务 不 中 断 


FTP 客户 端 
192.168.1.10/24 


从 下 面 R3 上 的 路 由 表 可 知 ， 当 R1 的 Eth0/0/1 接口 故障 时 ， 去 往 FTP 服务 器 ( 目 
的 地 址 在 1.1.1.0/24 网 段 〉 的 报 文 只 能 通过 R2 (下 一 跳 10.1.2.2) 转发 。 





9.1.3 ”防火 墙 的 双 机 部 署 还 需 考 虑 会 话 备 份 


如 果 将 传统 网 络 转发 设备 换 成 状态 检测 防火 墙 ， 情 况 就 大 不 一 样 了 。 回 忆 一 下 强 叔 在 
“1.5 ”状态 检测 和 会 话机 制 ” 中 讲 到 的 内 容 : 状态 检测 防火 墙 是 基于 连接 状态 的 ， 它 会 对 一 
条 流量 的 首 包 第 一 个 报 文 ) 进行 完整 的 检测 ， 并 建立 会 话 来 记录 报 文 的 状态 信息 〈 包 括 报 
文 的 源 下 、 源 端口 、 目 的 耳 、 目 的 端口 、 协 议 等 )。 而 这 条 流量 的 后 续 报 文 只 有 匹配 会 话 才 
能 够 通过 防火 墙 并 且 完 成 报 文 转发 ， 如 果 后 续 报 文 不 能 匹配 会 话 则 会 被 防火 墙 丢 弃 。 

下 面 举 个 例子 来 说 明 ， 两 台 防 火 墙 FW1 和 FW2 部 署 在 网 络 中 ， 与 上 下 行 设备 R1 
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和 R2 之 间 运 行 OSPF 协议 。 如 图 9-4 中 的 左 图 所 示 ， 正 常情 况 下 ， 由 于 FW1 所 在 链 路 
的 OSPF Cost 值 较 小 ， 所 以 业务 报 文 都 会 根据 路 由 通过 FW1 转发 。 这 时 FW1 上 会 建立 
会 话 ， 业 务 的 后 续 报 文 都 能 够 匹配 会 话 并 转发 。 

如 图 9-4 中 的 右 图 所 示 ， 当 FW1 出 现 故 障 时 ,业务 会 被 上 下 行 设备 上 的 路 由 信息 引 
导 到 FW2 上 。 但 由 于 FW2 上 没有 会 话 , 业务 报 文 因为 找 不 到 会 话 而 被 FW2 丢弃 ， 从 而 
导致 业务 中 断 。 这 时 用 户 需 要 重新 发 起 访问 请 求 〈 例 如 重新 进行 FTP 下载 )， 触 发 FW2 
重新 建立 会 话 ， 这 样 用 户 的 业务 才能 继续 进行 。 




























FTP 服务 器 “3 


” FTP 服务 器 会 
1.1.1.10/24 


1.1.1.10/24 > 
GEO0/0/0 
1.1.1.1/24 


GEO/0/1 
10.1.4.2/24 


| GE0/0/0 
4 1.1.1.1/24 
GEO/O/1 GEO/0/0 
10.1.4.2/24 10.1.3.2/24 


GEO/0/1 GEO/O/1 GEO/O/1 GEO/O/1 
10.1.3.1/24 10.1.4.1/24 10.1.3.1/24 10.1.4.1/24 ae 
| FWwI = 员 FW1 mq FW2 





GE0/0/0 GE0/0/0 
10.1.2.2/24 10.1.1.2/24 


GEO/0/0 GE0/0/0 


10.1.2.2/24 | 


GEO0/0/0 GE0/O/1 GEO0/0/0 GEO/0/1 
10.1.1.1/24 10.1.2.1/24 10.1.1.1/24 10.1.2.1/24 
' GEO0/0/0 : GEO/0/0 
! |192.168.1.1/24 1192.168.1.1/24 xX 故障 
FTP 客户 端 s FTP 客户 端 
192.168.1.10/2. 192.168.1.10/24 --- 姑 流量 





图 9-4 防火墙 的 双 机 部 署 还 需 考 虑 会 话 备份 
FW1 上 存在 会 话 ， 如 下 所 示 。 


下 W1] display firewall session table 
Current Total Sessions: 1 
‘fp VPN:public --> public 192.168.1.10:2050-->1.1.1.10:21 


FW2 上 不 存在 会 话 ， 如 下 所 示 。 


Current Total Sessions :0 


9.1.4” 双 机 热 备 解决 防火 墙 会 话 备 份 问题 


那么 如 何 解 决 两 台 防 火 墙 会 话 备份 的 问题 ， 使 两 台 防 火 墙 主 备 状态 切换 时 ， 保 证 已 
经 建立 的 业务 不 中 断 呢 ? 这 时 防火 墙 双 机 热 备 功能 就 该 出 手相 助 了 ! 

如 图 9-5 中 的 左 图 所 示 ， 防 火 墙 双 机 热 备 功能 最 大 的 特点 在 于 提供 一 条 专门 的 备份 
通道 (也 称 为 心跳 线 )， 用 于 两 台 防火 墙 之 间 协 商 主 备 状态 ， 以 及 备份 会 话 、Server-map 
表 等 重要 的 状态 信息 和 配置 信息 。 双 机 热 备 功能 启动 后 ， 正 常情 况 下 ， 两 台 防 火 墙 会 根 
据 管理 员 的 配置 分 别 成 为 主 用 设备 和 备用 设备 。 成 为 主 用 设备 的 防火 墙 FW1 会 处 理 业 
务 ， 并 将 设备 上 的 会 话 、Server-map 表 等 重要 状态 信息 以 及 配置 信息 通过 备份 通道 实时 
同步 给 备用 设备 FW2。 成 为 备用 设备 的 防火 墙 FW2 不 会 处 理 业务 ， 只 是 通过 备份 通道 
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接收 来 自主 用 设备 FW1 的 状态 信息 以 及 配置 信息 。 

如 图 9-5 中 的 右 图 所 示 ， 当 主 用 设备 FW1 的 链 路 发 生 故 障 时 ， 两 台 防 火 墙 会 利用 备 
份 通道 交互 报 文 ， 重 新 协商 主 备 状态 。 这 时 FW2 会 协商 成 为 新 的 主 用 设备 ， 处 理 业 务 ; 
而 FW1 会 协商 成 为 备用 设备 ,不 处 理 业 务 。 与 此 同时 ,业务 流量 也 会 被 上 下 行 设备 的 路 
由 信息 引导 到 新 的 主 用 设备 FW2 上 。 由 于 FW2 在 作为 备用 设备 时 已 经 备份 了 主 用 设备 
上 的 会 话 和 配置 等 信息 ， 因 此 业务 报 文 就 能 够 顺利 地 匹配 到 会 话 从 而 被 正常 转发 。 

路 由 以 及 会 话 和 配置 都 能 够 备份 就 保证 了 备用 设备 FW2 能 够 成 功 接替 原 主 用 设备 
FW1 处 理 业 务 流量 ， 成 为 新 的 主 用 设备 ， 避 免 了 网 络 业务 中 断 。 









FTP 服务 器 本 
1.1.1.10/24 


备份 通道 
一 一 > 备份 流量 
--- 罗 ”业务 流量 


FTP 客户 端 


192.168.1.10/24 192.168.1.10/24 


图 9-5 双 机 热 备 保证 业务 不 中 断 


FW1 上 存在 会 话 ， 如 下 所 示 。 


~ ee on oe 1 
mp pt I 


FW2 上 也 存在 会 话 ， 如 下 所 示 。 








fp VPN:public -> public 192.168.1.10:2050-->1. - 10:21 


上 面 介绍 的 是 主 备 备份 方式 的 双 机 热 备 。 在 主 备 备份 场景 中 ， 正 常情 况 下 备用 设备 
不 处 理 业务 流量 ， 处 于 闲置 状态 。 如 果 不 希望 买 来 的 设备 闲置 ， 或 者 只 一 台 设 备 处 理 流 
量 时 压力 较 大 ， 可 以 选择 负载 分 担 方式 的 双 机 热 备 。 

如 图 9-6 中 的 左 图 所 示 , 在 负载 分 担 场景 下 , 两 台 防 火 墙 均 为 主 用 设备 , 都 建立 会 话 ， 
都 处 理 业务 流量 。 同 时 两 台 防 火 墙 又 都 相互 作为 对 方 的 备用 设备 ， 接 受 对 方 备份 的 会 话 和 
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配置 信息 。 如 图 9-6 中 的 右 图 所 示 ， 当 其 中 一 台 防 火 墙 故障 后 ， 另 一 台 防 火 墙 会 负责 处 理 
全 部 业务 流量 。 由 于 这 两 台 防 火 墙 的 会 话 信息 是 相互 备份 的 ， 因 此 全 部 业务 流量 的 后 续 报 
文 都 能 够 在 其 中 一 台 防 火 墙 上 匹配 到 会 话 从 而 正常 转发 ， 这 就 避免 了 网 络 业务 的 中 断 。 


OM Web 服务 器 
1.1.1.20/24 













和 Web 服务 器 
! .1.1.20/24 


FTP 服务 器 


1.1.1.10/24 FTP 服务 器 


1.1.1.10/24 


PC1 
192.168.1.10/24 





PC1 


PC2 
92.168.1.20/24 192.168.1.10/24 


192.168.1.20/24 


汉 故障 
GE 备份 通道 
一 > 备份 流量 


---- 交 ”FTP 流量 
一 -> HTTP 流量 


图 9-6 负载 分 担 方式 的 双 机 热 备 
FWI Pe FTP ’ HTTP 会 话 ， 如 下 所 示 。 


20:80 





9.1.5 “总结 


为 了 提升 网 络 可 靠 性 ， 避 免 单 点 故障 的 风险 ， 我 们 需要 在 网 络 关 键 节点 处 部 署 两 台 
网 络 设备 。 如 果 是 路 由 器 和 交换 机 ， 我 们 只 需要 做 好 路 由 的 备份 即 可 。 如 果 是 防火 墙 ， 
我 们 还 必须 在 两 台 防 火 墙 之 间 备 份 会 话 表 等 状态 信息 。 


防火 墙 的 双 机 热 备 功能 提供 一 条 专门 的 备份 通道 ， 用 于 两 台 防 火 墙 之 间 协 商 主 备 状 
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态 ， 以 及 会 话 等 状态 信息 的 备份 。 双 机 热 备 主要 包括 主 备 备份 和 负载 分 担 场 景 。 主 备 备 
份 是 指正 常情 况 下 仅 由 主 用 设备 处 理 业 务 ， 备 用 设备 空闲 ;当主 用 设备 接口 、 链 路 或 整 
机 故障 时 , 备用 设备 切换 为 主 用 设备 , 接替 主 用 设备 处 理 业 务 。 负 载 分 担 也 可 以 称 为 “ 互 
为 主 备 ”， 即 两 台 设备 同时 处 理 业 务 。 当 其 中 一 台 设 备 发 生 故 障 时 ， 另 外 一 台 设 备 会 立即 
承担 其 业务 ， 保 证 原来 需要 通过 这 人 台 设 备 转发 的 业务 不 中 断 。 


9.2 VRRP 与 VGMP 的 故事 


熟悉 路 由 器 和 交换 机 的 读者 一 提 到 网 络 双 机 部 署 ， 首 先 想 到 的 肯定 是 VRRP 协议 ， 
其 实 防火 墙 的 双 机 热 备 功能 也 是 在 VRRP 协议 的 基础 上 扩展 而 来 的 。 所 以 本 节 我 们 会 从 
VRRP 入 手 引 出 VGMP， 并 一 步 步 讲解 VGMP 与 VRRP 的 故事 。 


9.2.1 VRRP 概述 


在 上 节 讲 的 路 由 器 或 防火 墙 双 机 热 备 组 网 中 ， 流 量 被 引导 到 主 用 还 是 备用 设备 都 是 
由 上 下 行 设备 的 路 由 表决 定 的 。 这 是 因为 动态 路 由 可 以 根据 链 路 状态 动态 调整 路 由 表 ， 
自动 将 流量 引导 到 正确 的 设备 上 。 但 如 果 上 下 行 设 备 运行 的 是 静态 路 由 呢 ? 静态 路 由 可 
是 无 法 动态 调整 的 啊 ! 

下 面 我 们 就 来 看 一 个 例子 。 如 图 9-7 
所 示 ， 主 机 将 Router 设置 为 默认 网 关 。 这 
样 当主 机 想 访问 外 部 网 络 时 ， 就 会 先 将 报 
文 发 送 给 网 关 , 再 由 网 关 传递 给 外 部 网 络 ， 
从 而 实现 主机 与 外 部 网 络 的 通信 。 正 常 的 
情况 下 ， 主 机 可 以 完全 信赖 网 关 的 工作 ， 
但 是 当 网 关 故 障 时 ， 主 机 与 外 部 的 通信 就 
会 中 断 。 

如 图 9-8 所 示 ， 如 果 想 要 解决 网 络 中 断 
的 问题 ， 我 们 就 需要 添加 多 个 网 关 (Routerl 
和 Router2)。 但 一 般 情 况 下 主机 不 能 配置 动 
态 路 由 ， 而 且 只 会 配置 一 个 默认 网 关 。 如 果 
我 们 把 Routerl 设置 成 默认 网 关 ， 那 么 当 
Routerl 出 现 故障 时 ， 流 量 无 法 被 自动 引导 到 RI 
Router2 上 。 这 时 只 有 手工 调整 主机 的 默认 网 关 为 Router2， 才 能 将 主机 的 流量 引导 到 Router2 
上 。 但 是 这 样 必 然 会 导致 主机 访问 外 网 的 流量 中 断 一 段 时 间 ， 从 而 影响 用 户 业 务 的 正常 运行 。 
而 且 大 型 网 络 中 的 主机 数量 成 百 上 千 ， 通 过 手动 调整 网 络 实现 网 关 备 份 显然 是 不 切实 际 的 。 

为 了 更 好 地 解决 由 于 网 关 故 障 引起 的 网 络 中 断 问题 ， 网 络 开 发 者 提出 了 VRRP 协议 。 
VRRP 是 一 种 容错 协议 ， 它 保证 当主 机 的 下 一 跳 路 由 器 (默认 网 关 ) 出 现 故 障 时 ， 由 备份 路 由 
器 自动 代替 出 现 故 障 的 路 由 器 完成 报 文 转发 任务 ， 从 而 保持 网 络 通信 的 连续 性 和 可 靠 性 。 

如 图 9.9 所 示 ， 我 们 将 局 域 网 内 的 一 组 路 由 器 〈 实 际 上 是 路 由 器 的 下 行 接口 ) 划分 在 一 
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起 ， 形 成 一 个 VRRP 备份 组 。VRRP 备份 组 相当 于 一 台 虚 拟 路 由 器 ， 这 个 虚拟 路 由 器 有 自己 
的 虚拟 下 地址 和 虚拟 MAC 地 址 (格式 : 00-00-5E-00-01-{VRID}，VRID 是 VRRP 备份 组 的 
ID)。 所 以 , 局 域 网 内 的 主机 可 以 将 默认 网 关 设 置 为 VRRP 备份 组 的 虚拟 他 地 址 。 在 局 域 网 内 
的 主机 看 来 ， 它 们 就 是 与 虚拟 路 由 器 进行 通信 的 ， 然 后 通过 虚拟 路 由 器 与 外 部 网 络 进行 通信 。 












pi 


Routerl 本 Router2 


Router2 [iD 





主机 主机 
图 9-8 多 个 网 关 也 不 能 保证 业务 不 中 断 


虚拟 路 由 器 、 
(VRRP 备份 组 1) 一 、 
虚拟 IP 地 址 : 10.1.1.3/24 : 2 
虚拟 MAC 地 址 : 00-00-5E-00-01-01 


主机 
图 9-9 VRRP 基本 概念 


332 华为 防火 墙 技术 漫谈 


VRRP 备份 组 中 的 多 个 路 由 器 会 根据 管理 员 指 定 的 VRRP 备份 组 优先 级 确定 各 自 的 
VRRP 备份 组 状态 。 优 先 级 最 高 的 VRRP 备份 组 状态 为 Master， 其 余 VRRP 备份 组 状 
态 为 Backup。VRRP 备份 组 的 状态 决定 了 路 由 器 的 主 备 状态 。 VRRP 备份 组 状态 为 Master 
的 路 由 器 称 为 Master 路 由 器 ，VRRP 备份 组 状态 为 Backup 的 路 由 器 称 为 Backup 路 由 
器 。 当 Master 路 由 器 正常 工作 时 ， 局 域 网 内 的 主机 通过 Master 路 由 器 与 外 界 通信 。 当 
Master 路 由 器 出 现 故 障 时 , 一 台 Backup 路 由 器 (VRRP 优先 级 次 高 的 ) 将 成 为 新 的 Master 
路 由 器 ， 接 替 转 发 报 文 的 工作 ， 保 证 网 络 不 中 断 。 


9.2.2 VRRP 工作 原理 


强 叔 在 这 里 采取 图 说 的 方式 来 呈现 VRRP 工作 的 全 流程 ， 借 此 帮助 读者 们 来 理解 
VRRP 的 实现 原理 。 大 家 只 要 看 完 并 记 住 下 面 的 图 ， 就 一 定 能 理解 并 记忆 VRRP 协议 。 

管理 员 在 路 由 器 上 配置 完 VRRP 备份 组 和 优先 级 后 ，VRRP 备份 组 会 短暂 的 工作 在 
Initialize 状态 。 如 图 9-10 所 示 ， 当 VRRP 备份 组 收 到 接口 Up 的 消息 后 ， 会 切换 成 Backup 
状态 ， 等 待定 时 器 超时 后 再 切换 至 Master 状态 。 





状态 : Backup 
优先 级 : 100 


9-10 VRRP 备份 组 状态 由 Initialize 切换 到 Backup 


如 图 9-11 所 示 ， 在 VRRP 备份 组 的 多 个 路 由 器 中 ， 率 先 将 VRRP 备份 组 状态 切换 
成 Master 的 路 由 器 将 会 成 为 Master 路 由 器 。VRRP 备份 组 优先 级 越 高 的 路 由 器 ， 它 的 
定时 器 时 长 越 短 , 越 容 易 成 为 Master 路 由 器 。 这 个 根据 VRRP 备份 组 优先 级 确定 Master 
路 由 器 的 过 程 称 为 Master 路 由 器 选举 。 

选举 成 功 后 ，Master 路 由 器 会 立即 周期 性 〈 缺 省 为 1 秒 ) 地 向 VRRP 备份 组 中 内 的 
所 有 Backup 路 由 器 发 送 VRRP 报 文 ， 以 通告 自己 的 Master 状态 和 优先 级 。 

同时 Master 路 由 器 会 发 送 免 费 ARP 报 文 ， 将 VRRP 备份 组 的 虚拟 MAC 地 址 和 虚 
拟 瑟 地 址 通知 给 与 它 连接 的 交换 机 ,如 图 9-12 所 示 。 下 行 的 交换 机 的 MAC 表 项 会 记录 
虚拟 MAC 地 址 与 端口 Eth0/0/1 的 对 应 关系 。 

如 图 9-13 所 示 ， 由 于 内 网 的 PC 将 网 关 设 置 为 VRRP 备份 组 1 的 虚拟 IP 地 址 ， 所 
以 当 内 网 PC 访问 Internet 时 ， 首 先 会 在 广播 网 络 中 广播 ARP 报 文 ， 请 求 虚拟 IP 地 址 对 
应 的 虚拟 MAC 地 址 。 这 时 只 有 Master 路 由 器 会 回应 此 ARP 报 文 ， 将 虚拟 MAC 地 址 回 
应 给 PC。 
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ix GE1/0/1 
状态 : Backup 
优先 级 : 100 


全 vr 


----- > VRRP 报 文 方向 
图 9-11 Master 路 由 器 选举 






GE1/0/1 
状态 : Oe A 1. GE1/O/ 
优先 级 : NS 状态 : Backup 











倒 国 国 免费 ARp 报 广 


------ > 免费 ARP 报 文 方向 
9-12 ”Master 路 由 器 发 送 免费 ARP 报 文 





我 知道 ! 
10.1.1.3 的 MAC 地 址 


Routerl Router2 


GE1/0/1 


10.1.1.3/24 状态 : Backup 


状态 : Master ~ WE di. | py 






谁 知道 网 关 地 址 
10.1.1.3 对 应 的 MAC 地 址 ? 


PC 网 关 设 置 为 
10.1.1.3/24 
一 -一 > ARP 广播 


3 ARP 应 答 报 文 


------ 和 ARP 应 答 报 文 方向 
图 9-13 ”Master 路 由 器 回应 PC 的 ARP 请 求 报 文 
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如 图 9-14 所 示 ，PC 使 用 虚拟 MAC 地 址 作为 目的 MAC 地 址 封装 报 文 ， 然 后 将 其 发 
送 至 交换 机 。 交 换 机 根据 MAC 表 记 录 的 MAC 地 址 与 端口 的 关系 , 将 PC 发 送 的 报 文通 
过 端口 Eth0/0/1 转发 给 Routerl 。 


Router 1 Router 2 






~~ 


>» GE1/0/1 
状态 : Backup 
优先 级 : 100 


GE1/0/1 “ \ 
>=ASNA 10.1.1.3/24 -- 
状态 : Master NN----------------- 


优先 级 : 110 


(去 往 这 个 MAC 地 址 的 
报 文 交 从 Eth 发出》 









PC 网 关 设置 为 
10.1.1.3/24 


本 和 


------ 和 业务 报 文 方向 
图 9-14 下 行 交 换 机 将 报 文 发 送 给 Master 路 由 器 

以 上 讲 的 是 正常 情况 下 ，Master 路 由 器 和 Backup 路 由 器 的 状态 建立 和 运行 过 程 。 
下 面 将 介绍 Master 路 由 器 和 Backup 路 由 器 的 状态 切换 和 运行 过 程 。 

如 图 9-15 所 示 ， 当 Master 路 由 器 发 生 故 障 (Routerl 整 机 或 接口 GE1/0/1 故障 ) 时 ， 
它 将 无 法 发 送 VRRP 报 文 通知 Backup 路 由 器 。 如 果 Backup 路 由 器 在 定时 器 超时 后 仍 不 
能 收 到 Master 路 由 器 发 送 的 VRRP 报 文 ， 则 认为 Master 路 由 器 故障 ， 从 而 将 自身 状态 
切换 为 Master。 





图 9-15 ”VRRP 状态 切换 


还 有 一 种 情况 : 当 Master 路 由 器 主动 放弃 Master 地 位 (如 Master 路 由 器 退出 VRRP 
备份 组 ) 时 , 会 立即 发 送 优先 级 为 0 的 VRRP 报 文 , 使 Backup 路 由 器 快速 切换 成 Master 
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路 由 器 。 

如 图 9-16 所 示 ， 当 VRRP 备份 组 状态 切换 完成 后 ， 新 的 Master 路 由 器 会 立即 发 送 
携带 VRRP 备份 组 虚拟 MAC 地 址 和 虚拟 IP 地 址 信息 的 免费 ARP 报 文 ， 刷 新 与 它 连接 
的 设备 〈 下 行 交 换 机 ) 中 的 MAC 表 项 。 下 行 的 交换 机 的 MAC 表 项 会 记录 虚拟 MAC 地 
址 与 新 的 端口 Eth0/0/2 的 对 应 关系 。 









Routerl Router2 


A 多 状态: Master 
优先 级 : 100 










XK 故障 
全 泡 ”免费 ARP 报 文 


sa >” 免费 ARP 报 文 方向 


EthO/0/1 


i 
~ MAC 和 中 更 新 了 
Cm 
八 的 对 应 关 ， 






9-16 新 的 Master 路 由 器 发 送 免费 ARP 报 文 


如 图 9-17 所 示 ， 当 内 网 PC 将 报 文 发 送 给 交换 机 后 ， 交 换 机 会 将 PC 发 送 的 报 文 通 
过 端口 Eth0/0/2 转发 给 Router2。 这 样 内 网 PC 的 流量 就 都 通过 新 的 Master 路 由 器 Router2 
转发 了 。 这 个 过 程 对 用 户 是 完全 透明 的 , 内 网 PC 感知 不 到 Master 路 由 器 已 经 由 Routerl 
切换 成 Router2。 


Router 1 Router 2 







GE1/0/1 ,AAA GE1/ON 
状态 : Initialize” N10.1.13/24 __. -pa 状态 : Master 
优先 级 : 100 


> 
4 


i > 业务 报 文 方向 
图 9-17 下 行 交换 机 将 报 文 发 送 到 新 的 Master 路 由 器 


336 华为 防火 墙 技术 漫谈 


如 图 9-18 所 示 ， 当 原 Master 路 由 器 〈 现 Backup 路 由 器 ) Routerl 故障 恢复 后 ， 优 
先 级 会 高 于 现在 的 Master 路 由 器 。 这 时 如 果 配 置 了 抢占 功能 ， 原 Master 路 由 器 会 在 抢 
占 定时 器 超时 后 将 状态 切换 成 Master, 重新 成 为 Master 路 由 器 ; 如 果 没 有 配置 抢占 功能 ， 
原 Master 路 由 器 将 仍然 保持 Backup 状态 。 






~--- 一 -一 -= 一 -一 ~ 一 -~-~ ~- 


GEIOIL “NVRRP 备份 组 1 ,了 > GE1/011 
状态 : Backup 状态 : Master 
优先 级 : 110 优先 级 : 100 
一 
CD VRRP fx 
ee > VRRP 报 文 方向 


图 9-18 故障 恢复 后 原 Master 路 由 器 抢占 


9.2.3 ”多 个 VRRP 状态 相互 独立 产生 问题 


上 节 讲 到 通过 在 网 关 的 下 行 接口 运行 VRRP， 可 以 解决 网 关 的 可 靠 性 问题 。 如 果 我 
们 在 网 关 的 上 行 和 下 行 接口 上 同时 运行 VRRP， 这 时 情况 会 是 怎样 的 呢 ? 

如 图 9-19 所 示 ， 两 台 设备 的 下 行 接口 加 入 VRRP 备份 组 1， 上 行 接口 加 入 VRRP 备 
份 组 2。 正 常情 况 下 ，R1 的 VRRP 备份 组 1 的 状态 为 Master，VRRP 备份 组 2 的 状态 为 
Master, 所 以 R1 是 VRRP 备份 组 1 中 的 Master 路 由 器 ,也 是 VRRP 备份 组 2 的 Master 
路 由 器 。 这 样 由 我 们 上 面 讲 的 VRRP 原理 可 知 ， 内 外 网 之 间 的 业务 报 文 都 会 通过 RI1 
转发 。 

当 RI1 的 GE1/0/1 接口 故障 时 ，VRRP 备份 组 1 发 生 状 态 切 换 : RI1 的 VRRP 备份 组 
1 状态 切换 成 Initialize，R2 的 VRRP 备份 组 1 状态 切换 成 Master。 这 样 R2 成 为 VRRP 
备份 组 1 中 的 Master 路 由 器 ， 并 向 LSW1 发 送 免 费 ARP 报 文 ， 刷新 LSW1 中 的 MAC 
表 项 。 这 时 PC1 访问 PC2 的 报 文 就 通过 R2 转发 了 。 但 是 由 于 R1 与 LSW2 之 间 的 链 路 
是 正常 的 , 所 以 VRRP 备份 组 2 的 状态 是 不 变 的 , R1 仍然 是 VRRP 备份 组 2 中 的 Master 
路 由 器 ， 而 R2 仍 是 VRRP 备份 组 2 中 的 Backup 路 由 器 。 因 此 PC2 返回 给 PC1 的 回程 
报 文 依然 会 转发 给 R1， 而 R1 的 下 行 接 口 GE1/0/1 是 故障 的 ， 所 以 R1 只 能 丢弃 此 回程 
报 文 ， 这 就 导致 了 业务 流量 的 中 断 。 

看 完 这 个 过 程 后 ， 读 者 们 一 定 会 发 现 VRRP 问题 的 所 在 了 : VRRP 备份 组 之 间 是 相 
互 独立 的 ， 当 一 台 设 备 上 出 现 多 个 VRRP 备份 组 时 ， 它 们 之 间 的 状态 无 法 同步 。 

在 解决 这 个 VRRP 问题 的 方法 上 ， 华 为 防火 墙 与 路 由 器 、 交 换 机 等 普通 网 络 设备 走 
上 了 一 条 截然 不 同 的 道路 。 我 们 下 面 会 重点 介绍 华为 防火 墙 是 如 何 解决 这 个 问题 的 。 
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RR Eth0/0/2 


N 
、 





\ GE1/0/3 
< \、Backup 






A , 
GE1/0/1 Ye“ 
Master \ 虚 拟 IP 地 址 : 10.1.1.1/24. Backup 

NS 


= 
\ 


11 
PC1 的 网 关 地 址 : 局 各 与 
ol 人 Fr- 
10.1.1.1/24 


a > 内 网 访问 外 网 的 报 文 
回程 报 文 


图 9-19 多 个 VRRP 共同 运行 


9.2.4 ”VGMP 的 产生 解决 了 VRRP 的 问题 


为 了 解决 多 个 VRRP 备份 组 状态 不 一 致 的 问题 ， 华 为 防火 墙 引 入 VGMP (VRRP 
Group Management Protocol，VRRP 组 管理 协议 ) 来 实现 对 VRRP 备份 组 的 统一 管理 ， 
保证 多 个 VRRP 备份 组 状态 的 一 致 性 。 我 们 将 防火 墙 上 的 所 有 VRRP 备份 组 都 加 入 到 一 
个 VGMP 组 中 ， 由 VGMP 组 来 集中 监控 并 管理 所 有 的 VRRP 备份 组 状态 。 如 果 VGMP 
组 检测 到 其 中 一 个 VRRP 备份 组 的 状态 变化 ， 则 VGMP 组 会 控制 组 中 的 所 有 VRRP 备 
份 组 统一 进行 状态 切换 ， 保 证 各 VRRP 备份 组 状态 的 一 致 性 。 

VGMP 组 有 状态 和 优先 级 两 个 基本 属性 ， 并 且 有 三 条 基本 运行 原则 。 

。 VGMP 组 的 状态 决定 了 组 内 VRRP 备份 组 的 状态 ,也 决定 了 防火 墙 的 主 备 状态 。 

. 台 防火 墙 的 VGMP 组 状态 是 通过 相互 比较 优先 级 来 决定 的 。 优 先 级 高 的 

VGMP 组 状态 为 Active， 优 先 级 低 的 VGMP 组 状态 为 Standby。 
。 VGMP 组 会 根据 组 内 VRRP 备份 组 的 状态 变化 来 更 新 自己 的 优先 级 。 一 个 
VRRP 备份 组 的 状态 变 成 Initialize，VGMP 组 的 优先 级 就 会 降低 2。 

了 解 并 熟 记 了 VGMP 组 运行 的 基本 原则 后 ， 我 们 一 起 来 看 一 下 VGMP 协议 如 何 解 
决 VRRP 备份 组 状态 不 一 致 的 问题 。 

如 图 9-20 所 示 ， 我 们 在 FW1 上 将 VRRP 备份 组 1 和 VRRP 备份 组 2 都 加 入 状态 为 
Active 的 VGMP 组 ,在 FW2 上 将 VRRP 备份 组 1 和 VRRP 备份 组 2 都 加 入 状态 为 Standby 
的 VGMP 组 ,由 于 VGMP 组 的 状态 决定 了 组 内 VRRP 备份 组 的 状态 ,所 以 FW1 上 VRRP 
备份 组 1 和 2 的 状态 都 为 Active，FW2 上 VRRP 备份 组 1 和 2 的 状态 都 为 Standby。 这 
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样 FW1 就 是 VRRP 备份 组 1 和 VRRP 备份 组 2 中 的 Active 路 由 器 (也 就 是 两 台 防 火 墙 


中 的 主 用 设备 ), 而 FW2 就 是 它们 的 Standby 路 由 器 (也 就 是 两 台 防 火 墙 中 的 备用 设备 )， 
所 以 上 下 行 的 业务 流量 都 会 被 引导 到 主 用 设备 FW1 转发 。 










Ge 
Active GE1/0/1 +.. 
Initialize 


PC1 的 网 关 地 址 : 
10.1.1.1/24 


10.1.1.1/24 


SR > 内 网 访问 外 网 的 报 文 
一 -一 > 回程 报 文 


图 9-20 VGMP 保证 VRRP 状态 统一 切换 


[0 说 明 


两 台 防火 墙 之 间 需 要 心跳 线 来 交互 VGMP 协议 的 相关 报 文 。 


【 强 叔 问答 】 上 面 我 们 在 讲解 VRRP 时 提 到 的 状态 都 是 “Master” 和 “Standby”， 这 
里 为 什么 都 变 成 “Active” 和 “Standby” 了 呢 ? 

答 : 防火 墙 在 USG6000 系列 中 统一 将 双 机 热 备 的 状态 〈 原 为 “Master” 和 “Slave”) 
和 VRRP 的 状态 〈 原 为 “Master” 和 “Standby”) 修改 为 “Active” 和 “Standby”。 所 以 
当 你 在 某 些 文档 中 看 到 多 种 不 统一 的 状态 说 法 时 请 不 要 奇怪 ， 按 本 文 描述 的 “Active” 
和 “Standby” 理 解 即 可 。 

如 图 9-20 所 示 ， 当 FW1 的 接口 故障 时 ，VGMP 组 控制 VRRP 备份 组 状态 统一 切换 
的 过 程 如 下 。 

(1) 当 FW1 的 GE1/0/1 接口 故障 时 ，FW1 上 的 VRRP 备份 组 1 发 生 状 态 切换 〈 由 
Active 切换 成 Initialize )。 

(2) FW1 的 VGMP 组 感知 到 这 一 故障 后 ， 会 降低 自身 的 优先 级 ， 然 后 与 FW2 的 
VGMP 组 比较 优先 级 ， 重 新 协商 主 备 状态 。 
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(3) 协商 后 ，FW1 的 VGMP 组 状态 由 Active 切换 成 Standby，FW2 的 VGMP 组 状 
态 由 Standby 切换 成 Active。 

(4) 同时 ， 由 于 VGMP 组 的 状态 决定 了 组 内 VRRP 备份 组 的 状态 ， 所 以 FW1 的 
VGMP 组 会 强制 组 内 的 VRRP 备份 组 2 由 Active 切换 成 Standby 状态 ，FW2 的 VGMP 
组 也 会 强制 组 内 的 VRRP 备份 组 1 和 2 由 Standby 切换 成 Active 状态 。 

这 样 FW2 就 成 为 了 VRRP 备份 组 1 和 VRRP 备份 组 2 中 的 Active 路 由 器 ， 也 就 成 
了 为 两 台 防 火 墙 中 的 主 用 设备 ， 而 FW1 则 成 为 了 VRRP 备份 组 1 和 VRRP 备份 组 2 中 
的 Standby 路 由 器 ， 也 就 成 为 了 两 台 防 火 墙 中 的 备用 设备 。 

(5) FW2 会 分 别 向 LSW1 和 LSW2 发 送 免费 ARP， 更 新 它们 的 MAC 转发 表 ， 使 
PC1 访问 PC2 的 上 行 报 文 和 回程 报 文 都 转发 到 FW2。 这 样 就 完成 了 VRRP 备份 组 状态 
的 统一 切换 ， 并 且 保 证 业务 流量 不 会 中 断 。 


9.2.5 ”VGMP 报 文 结构 


看 到 以 上 内 容 大 家 应 该 明白 了 ，VGMP 不 仅 完成 了 VRRP 备份 组 的 统一 管理 ， 还 借 
势 取 代 VRRP 接管 了 对 防火 墙 主 备 状态 的 管理 权 。 那 么 这 时 问题 来 了 : 两 台 防 火 墙 的 
VGMP 组 之 闻 是 如 何 传递 状态 和 优先 级 信息 的 ? 

在 前 面 的 “9.2.2 VRRP 工作 原理 ”中 讲 到 两 台 路 由 器 的 VRRP 备份 组 是 通过 VRRP 
报 文 来 传递 状态 和 优先 级 信息 的 ,那么 两 台 防 火 墙 的 VGMP 组 还 是 通过 VRRP 报 文 来 传 
递 状态 和 优先 级 信息 的 吗 ? 这 当然 不 太 可 能 ， 新 的 领导 自然 有 新 的 方法 。 

在 双 机 热 备 中 ， 两 台 防 火 墙 的 VGMP 组 是 通过 VGMP 报 文 来 传递 状态 和 优先 级 信 
息 的 。VGMP 是 华为 的 私有 协议 ， 它 为 了 实现 防火 墙 双 机 热 备 功能 对 VRRP 报 文 进行 了 
扩展 和 修改 ， 并 衍生 出 多 种 使 用 VGMP 报 文 头 封装 的 报 文 。 理 解 VGMP 报 文 和 报 文 头 
是 理解 VGMP 状态 协商 和 切换 的 基础 ， 所 以 让 我 们 先 看 一 下 VGMP 报 文 的 结构 。 


[0 说 明 
本 节 所 讲 到 的 VGMP 报 文 结 构 适 用 于 适用 于 USG2000/5000/6000 系列 防火 墙 和 
USG9000 系列 防火 墙 的 V100R003 版 本 。 


如 图 9-21 所 示 , 从 VGMP 报 文 封装 顺序 中 我 们 可 以 发 现 ,VGMP 报 文 是 根植 于 VRRP 
报 文 的 ， 是 由 VRRP 报 文 头 封装 的 。 但 这 个 VRRP 报 文 头 并 不 是 标准 的 VRRP 报 文 头 ， 
是 经 过 华为 扩展 和 修改 的 新 VRRP 报 文 头 ， 具 体 有 以 下 几 点 变化 。 
。 标准 VRRP 报 文 头 的 “Type” 字 段 只 有 “1?” 一 个 取 值 ， 新 VRRP 报 文 头 中 增加 
了 “2” 取 值 。 也 就 是 说 如 果 Type=1， 就 是 标准 的 VRRP 报 文 头 ， 如 果 Type=2， 
就 是 我 们 修改 后 的 新 VRRP 报 文 头 。 
。 标准 VRRP 报 文 头 的 “Virtual Rtr ID ”字段 代 表 VRRP 备份 组 ID， 而 修改 后 的 
新 VRRP 报 文 头 “Virtual Rtr ID” 取 值 固定 为 “0”。 
。 修改 后 的 新 VRRP 报 文 头 中 去 掉 了 标准 VRRP 报 文 的 “IP Address” 字 上 段 。 
。 标准 VRRP 报 文 头 中 的 “Priority” 字 段 在 新 VRRP 报 文 头 中 被 修改 成 “Type2” 
字段 。 
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9-21 VGMP 报 文 结构 


一 ” 当 Type2=1 时 ， 报 文 封 装 成 心跳 链 路 探测 报 文 。 心 跳 链 路 探测 报 文 用 于 检测 
对 端 设 备 的 心跳 口 能 否 正常 接收 本 端 设备 的 报 文 ， 以 确定 是 否 有 心跳 口 可 以 
使 用 。 

- 当 Type2=5 时 ， 报 文 封装 成 一 致 性 检查 报 文 。 一 致 性 检查 报 文 用 于 检测 双 机 
热 备 状态 下 的 两 台 防 火 墙 的 双 机 热 备 和 策略 配置 是 否 一 致 。 

- 当 Type2=2 时 ，VRRP 报 文才 会 进一步 封装 VGMP 报 文 头 ， 并 根据 VGMP 
报 文 头 中 “vType” 字 段 继续 分 成 以 下 三 种 报 文 。 

ss VGMP 报 文 (VGMP Hello 报 文 ).VGMP Hello 报 文 用 于 两 台 防 火 墙 间 的 VGMP 
组 协商 主 备 状态 。 

s ”HRP 心跳 报 文 (HRP Hello 报 文 )。HRP 心跳 报 文 用 于 探测 对 端的 VGMP 组 是 
否 处 于 工作 状态 。 状 态 为 Active 的 VGMP 组 会 每 隔 一 段 时 间 〔〈 缺 省 为 1s) 向 对 
端的 VGMP 组 发 送 HRP 心跳 报 文 ， 用 来 通知 本 端的 VGMP 组 状态 和 优先 级 。 
如 果 状 态 为 Standby 的 VGMP 在 三 个 周期 内 没有 收 到 对 端 发 送 的 HRP 心跳 报 文 ， 
则 认为 对 端 VGMP 组 故障 ， 会 将 自身 状态 切换 成 Active。 

em HRP 数据 报 文 。 在 VGMP 报 文 头 后 增加 HRP 报 文 头 ， 才 能 封装 成 HRP 数据 报 
文 。HRP 数据 报 文 用 于 主 备 设备 之 间 的 数据 备份 ， 包 括 命令 行 配置 的 备份 和 各 
种 状态 信息 的 备份 。 

看 到 这 里 大 家 是 否 会 问 ， 在 防火 墙 双 机 热 备 中 新 VRRP 报 文 头 是 用 来 封装 VGMP 
报 文 的 ， 那 标准 的 VRRP 报 文 还 存在 吗 , 它 还 有 什么 作用 ? 答案 是 标准 VRRP 报 文 仍 旧 
存在 ， 它 还 是 用 于 VRRP 备份 组 内 部 通信 。 只 是 其 中 的 优先 级 字段 (Priority) 已 经 为 
固定 值 ， 无 法 配置 ， 所 以 标准 VRRP 报 文 实际 上 已 名 存 实 亡 。 优 先 级 字段 失去 作用 导致 
标准 VRRP 报 文 已 经 无 法 控制 VRRP 备份 组 的 状态 协商 了 ， 只 能 在 主 备 防火 墙 之 间 通 告 
一 下 VRRP 备份 组 的 状态 和 虚拟 下 地址 了 。 这 跟 宪 政体 制 下 的 “皇帝 ”的 作用 相似 ， 保 
留 名 号 ， 但 没有 管理 国家 的 权利 。 

VGMP 想 要 接管 防火 墙 和 VRRP 备份 组 的 状态 管理 ， 就 意味 着 VGMP 报 文 中 必须 
要 包含 VGMP 组 状态 和 优先 级 信息 。 我 们 再 看 一 下 VGMP 报 文 头 的 结构 。 

。 “Mode” 字 段 表 示 是 请 求 报 文 还 是 应 答 报 文 。 

。 “vgmpID” 字 段 表示 VGMP 组 是 Active 组 还 是 Standby 组 。 
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。 “vPriority” 字 段 表示 VGMP 组 的 优先 级 。 
另外 ，VGMP 报 文 的 “data” 中 包含 VGMP 组 的 状态 信息 。 这 两 点 就 表明 VGMP 
协议 具备 了 接替 标准 VRRP 协议 管理 VRRP 备份 组 和 防火 墙 状态 的 物质 基础 。 
综 上 所 述 ，VGMP 协议 修改 了 标准 的 VRRP 报 文 头 并 定义 好 了 各 种 使 用 VGMP 报 
文 头 封装 的 报 文 ， 那 么 这 些 报 文 是 通过 什么 渠道 在 两 台 防 火 墙 之 间 传 递 的 呢 ? 上 面 我 们 
讲 到 两 台 防 火 墙 通过 备份 通道 〈 心 跳 线 ) 来 传递 备份 数据 ， 可 见 HRP 数据 报 文 是 通过 备 
份 通道 传输 的 。 实际 上 以 上 所 讲 的 各 种 VGMP 报 文 〈 除 标准 VRRP 报 文 ) 都 是 通过 备份 
通道 传输 的 。 
另外 USG6000 系列 防火 墙 和 USG2000/5000 系列 防火 墙 V300R001 版 本 还 支持 将 以 
上 所 讲 的 各 种 VGMP 和 HRP 报 文 〈 除 标准 VRRP 报 文 ) 封装 成 UDP 报 文 ， 具体 结构 如 


图 9-22 所 示 。 


图 9-22 ”使 用 UDP 封装 的 VGMP 报 文 


那么 使 用 VRRP 封装 的 VGMP 报 文 和 使 用 UDP 封装 的 VGMP 报 文 有 什么 区 别 ? 前 
者 是 组 播报 文 ， 不 能 跨越 网 段 传输 ， 不 受 安全 策略 控制 ， 后 者 是 单 播报 文 ， 只 要 路 由 可 
达 就 可 以 跨越 网 段 传输 ， 但 是 受 安全 策略 控制 。 具 体 来 说 就 是 如 果 是 组 播报 文 ， 那 么 两 
台 防 火 墙 的 心跳 口 之 间 就 必须 直 连 或 通过 二 层 交换 机 相连 ， 但 是 不 需要 配置 安全 策略 ; 
如 果 是 单 播报 文 ， 那 么 两 台 防 火 墙 的 心跳 口 之 间 可 以 通过 路 由 器 这 种 三 层 设备 相连 ,但 
是 需要 配置 安全 策略 允许 报 文 在 Local 区 域 与 心跳 口 所 在 安全 区 域 间 双 向 通过 。 另 外 使 
用 业务 接口 做 心跳 口 时 也 必须 使 用 UDP 封装 VGMP 报 文 。 


9.2.6 ”防火 墙 VGMP 组 的 缺 省 状态 


在 “9.2.4 VGMP 的 产生 解决 了 VRRP 的 问题 ”中 我 们 已 经 简单 介绍 了 VGMP 是 
如 何 保证 VRRP 备份 组 状态 统一 切换 的 ， 实 际 的 切换 过 程 和 报 文 交互 要 更 复杂 一 些 。 在 
详细 介绍 VGMP 组 的 状态 形成 和 切换 过 程 之 前 ， 我 们 先 介绍 下 防火 墙 VGMP 组 的 缺 省 
状态 和 优先 级 。 

如 图 9-23 所 示 ， 每 台 防 火 墙 提供 两 个 VGMP 组 : Active 组 和 Standby 组 。 缺 省 情况 
下 ，Active 组 的 优先 级 为 65001， 状 态 为 Active; Standby 组 的 优先 级 为 65000， 状 态 为 
Standby。 主 备 备 份 情况 下 ， 主 用 设备 启用 Active 组 ， 所 有 成 员 〈 例 如 VRRP 备份 组 ) 
加 入 Active 组 ; 备用 设备 启用 Standby 组 ， 所 有 成 员 加 入 Standby 组 。 负 载 分 担 情 况 下 ， 
两 台 设 备 都 启用 Active 组 和 Standby 组 ， 每 台 设 备 上 的 所 有 成 员 分 别 加 入 Active 组 和 
Standby 组 。FW1 的 Active 组 和 FW2 的 Standby 组 形成 一 组 “ 主 备 ”，FW2 的 Active 组 
和 FWI1 的 Standby 组 形成 一 组 “ 主 备 ”， 两 台 防 火 墙 互 为 “ 主 备 ”， 形 成 负载 分 担 。 

以 上 讲 的 是 USG2000/5000/6000 系列 防火 墙 的 情况 ， 由 于 USG9000 系列 防火 墙 存 
在 接口 板 和 业务 板 ， 所 以 他 们 的 缺 省 优先 级 是 不 同 的 。 

USG9000 系列 防火 墙 V100R003 版 本 的 VGMP 组 缺 省 优先 级 如 下 。 

Master (Active) 组 的 缺 省 优先 级 =45001+1000X (业务 板 个 数 十 接口 板 个 数 )。 

Slave (Standby) 组 的 缺 省 优先 级 =45000+1000X (业务 板 个 数 十 接口 板 个 数 )。 
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9.2.7” 主 备 备份 双 机 热 备 状态 形成 过 程 


主 备 备份 方式 的 双 机 热 备 是 目前 较 常 用 的 双 
机 方式 ， 配 置 和 理解 也 比较 简单 ， 因 此 我 们 先 从 
主 备 备 份 双 机 热 备 状态 形成 的 过 程 来 讲 。 

为 了 让 大 家 能 够 真实 地 感受 到 VRRP 和 
VGMP 在 防火 墙 上 的 存在 ， 我 们 下 面 会 先 给 出 防 
火 墙 主 备 备 份 双 机 热 备 的 配置 ， 然 后 描述 配置 完 
成 后 双 机 热 备 状态 形成 的 过 程 。 

如 图 9-24 所 示 ， 为 了 实现 主 备 备份 方式 的 双 
机 热 备 ， 我 们 需要 在 FW1 上 启用 Active 组 ， 并 将 
FW1 上 的 VRRP 备份 组 都 加 入 Active 组 ,由 Active 
组 监控 所 有 VRRP 备份 组 ,在 FW2 上 启用 Standby 
组 ， 并 将 FW2 上 的 VRRP 备份 组 都 加 入 Standby 
组 ， 由 Standby 组 监控 所 有 VRRP 备份 组 。 

实现 此 操作 的 命令 为 vrrp vrid virtual-router- 
id virtual-ip virtual-address [ ip-mask | ip-mask- 
length ] { active | standby } 。 这 条 命令 看 似 简单 ， 
但 功能 很 强大 ， 一 条 命令 配置 下 去 两 件 事 轻松 搞定 。 

。 将 接口 加 入 VRRP 备份 组 ， 同 时 指定 了 虚 

拟 IP 地 址 和 掩 码 。 当 接口 的 人 P 地 址 与 


图 9-23 防火 墙 的 VGMP 组 


en 


PC1 的 网 关 地 址 3 
10.1.1.1/24 


图 9-24 主 备 备 份 双 机 热 备 组 网 图 


VRRP 备份 组 的 虚拟 IP 地 址 不 在 同一 网 段 时 ， 必 须 配 置 虚拟 IP 地 址 的 掩 码 。 
。 通过 “active | standby” 人 参数 将 VRRP 备份 组 加 入 Active 或 Standby 组 。 
两 台 防 火 墙 的 主 备 备份 双 机 热 备 配置 如 表 9-1 所 示 。 
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主 备 备份 双 机 热 备 配置 







ip address 10.1.1.3 255.255.255.0 
Vrrp vrid 1 virtual-ip 10.1.1.1 255.255. 
255.0 standb 
interface GigabitEthernet 1/0/3 
ip address 1.1.1.3 255.255.255.0 
VIP vrid 2 virtual-ip 1.1.1.1 255.255. 
255.0 standb 
hrp interface GigabitEthernet 1/0/2 


hrp enable 







ip address 10.1.1.2 255.255.255.0 
Vrrp vrid 1 virtual-ip 10.1.1.1 255.255. 
255.0 active 
interface GigabitEthernet 1/0/3 
ip address 1.1.1.2 255.255.255.0 
VIP Vrid 2 virtual-ip 1.1.1.1 255.255. 
255.0 active 


配置 心跳 口 hrp interface GigabitEthernet 1/0/2 


启用 双 机 热 备 “| hrp enable 
各 种 VGMP 报 文 和 HRP 报 文 都 是 通过 心跳 口 发 送 的 ， 心 跳 口 可 以 说 是 双 机 热 备 的 
“命脉 ”， 要 点 多 多 ， 务 必 关 注 。 
e 两 台 设 备 的 心跳 口 必须 加 入 相同 的 安全 区 域 。 
。 两 台 设 备 的 心跳 口 的 接口 类 型 和 编号 必须 相同 。 例 如 主 用 设备 的 心跳 接口 为 
GigabitEthernet 1/0/2， 那 么 备用 设备 的 心跳 接口 也 必须 为 GigabitEthernet 1/0/2 。 
。 选择 适合 的 心跳 口 连接 方法 ， 具 体 如 下 。 
一 ” 当 双 机 热 备 的 两 台 防 火 墙 距离 较 近 时 ， 心 跳 口 可 以 直接 相连 或 通过 二 层 交 换 
机 相连 。 配 置 方法 是 在 配置 心跳 口 时 不 添加 remote 参数 。 这 时 心跳 口 发 送 
的 报 文 是 用 VRRP 报 文 封装 的 ， 是 组 播报 文 。 组 播报 文 不 能 跨越 网 段 传输 ， 
且 不 受 安全 策略 控制 。 这 是 首选 的 心跳 口 相 连 方式 。 
一 ” 当 双 机 热 备 的 两 台 防 火 墙 距离 较 远 且 需要 跨越 网 段 传输 时 ， 心 跳 口 需要 通过 
路 由 器 相连 。 配置 方法 是 在 配置 心跳 口 时 添加 remote 参数 ,指定 对 端 心跳 口 
地 址 (例如 hrp interface GigabitEthernet 1/0/2 remote 10.1.1.2)。 添 加 remote 
参数 后 ， 从 心跳 口 发 送 的 各 种 报 文 将 封装 成 UDP 报 文 。UDP 报 文 是 单 播报 
文 ， 只 要 路 由 可 达 就 可 以 跨越 网 段 传 输 ， 但 需要 受到 安全 策略 控制 。 安 全 策 
略 的 配置 方法 是 允许 目的 端口 为 18514 的 报 文 在 Local 区 域 与 心跳 口 所 在 安 
全 区 域 间 双向 通过 。 
一 ” 当 双 机 热 备 的 两 台 防 火 墙 接口 资源 紧张 时 ， 也 可 以 使 用 业务 接口 作为 心跳 
口 。 配 置 方法 是 在 配置 心跳 口 时 添加 remote 参数 ， 指 定 对 端 心跳 口 ( 其 中 
的 一 个 业务 接口 ) 的 地 址 。 安 全 策略 的 配置 方法 是 允许 目的 端口 为 18514 的 
报 文 在 Local 区 域 与 心跳 口 所 在 安全 区 域 间 双 向 通过 。 
看 到 这 里 大 家 应 该 明白 如 何 控制 VGMP&HRP 报 文 的 封装 方式 了 吧 ? 
配置 完成 后 ， 我 们 在 FW1 上 执行 命令 display hrp state， 可 以 看 到 VRRP 备份 组 1 
和 2 加 入 了 Active 组 ， 且 状态 都 为 active。 
firewall's 


备份 组 1 










配置 VRRP 
备份 组 2 
























在 FW2 上 执行 命令 display hrp state, 可 以 看 到 VRRP 备份 组 1 和 2 加 入 了 Standby 
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组 ， 且 状态 都 为 standby。 


我 们 在 FW1 执行 命令 display hrp group， 可 以 看 到 Active 组 的 状态 为 active， 优先 
级 为 65001， 而 Standby 组 则 没有 启用 。 


在 FW2 执行 命令 display hrp group， 可 以 看 到 Standby 组 的 状态 为 standby， 优 先 
级 为 65000， 而 Active 组 则 没有 启用 。 
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了 Peer group available: 1 
Peer’s member same: yes 


CI 说 明 
在 后 面 讲 到 的 各 种 双 机 热 备 组 网 配置 完成 和 状态 切换 后 ， 我 们 都 可 以 执行 以 上 两 条 命 
令 查看 VGMP 组 的 信息 ， 以 确认 我 们 的 配置 是 否 正 确 ， 以 及 状态 是 否 发 生 切 换 。 





如 图 9-25 所 示 ， 配 置 完成 后 ， 主 备 备份 方式 的 双 机 热 备 状态 形成 过 程 如 下 《图 中 序 
号 与 下 文 序号 一 致 )。 





| MAC 地 址 | 端口 | 


ee 


Ee 


~ 


----- 宛 报 文 方向 
所 一 > VGMP 监控 
图 9-25 主 备 备份 双 机 热 备 状态 形成 过 程 


@@ 双 机 热 备 启 用 之 后 ，FW1 的 Active 组 的 状态 会 由 Initialize 切换 成 Active，FW2 
的 Standby 组 的 状态 由 Initialize 切换 成 Standby。 

全 由 于 FWI1 的 VRRP 备份 组 都 加 入 了 Active 组 ， 而 Active 组 的 状态 为 Active， 所 
以 FW1 的 VRRP 备份 组 1 和 VRRP 备份 组 2 的 状态 都 为 Active。 同 理 FW2 的 VRRP 备 
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份 组 1 和 VRRP 备份 组 2 的 状态 都 为 Standby。 

合 这 时 FW1 的 VRRP 备 份 组 1 和 2 会 分 别 向 上 行 和 下 行 交换 机 发 送 免费 ARP 报 文 ， 
将 VRRP 备份 组 的 虚拟 MAC 地 址 通知 给 它们 。 其 中 00-00-5E-00-01-01 是 VRRP 备份 组 
1 的 虚拟 MAC 地 址 ，00-00-5E-00-01-02 是 VRRP 备份 组 2 的 虚拟 MAC 地 址 。 

@ 上 下 行 交 换 机 的 MAC 表 项 会 分 别 记录 虚拟 MAC 地 址 与 端口 Eth0/0/1 的 对 应 关 
系 。 这 样 当 上 下 行 的 业务 报 文 到 达 交 换 机 后 , 交换 机 会 将 报 文 转发 到 FW1 上 , 所 以 FW1 
成 为 了 主 用 设备 ，FW2 成 为 了 备用 设备 。 

合 同时 FW1 的 Active 组 还 会 通过 心跳 线 定时 向 FW2 的 Standby 组 发 送 HRP 心跳 
报 文 。 


9.2.8” 主 用 设备 接口 故障 后 的 状态 切换 过 程 


两 台 防 火 墙 形成 主 备 备份 状态 后 ， 如 果 主 用 设备 的 接口 故障 ， 那 么 两 台 防火 墙 会 发 
生 主 备 状态 切换 ， 具 体 过 程 如 下 。 

(1) 如 图 9-26 所 示 ， 当 主 用 设备 的 接口 GE1/0/1 故障 后 ，FW1 的 VRRP 备份 组 1 
的 状态 变 成 Initialize。 


GE1/0/3 GE1/0/3 






GE1/0/ 1 GE1/0/1 


Den Xn Em D> 
”VRRP 备份 组 ----- 和 报 文 方向 < 一 > VGMP 监控 


图 9-26 主 用 设备 链 路 或 接口 故障 ， 请 求 状态 切换 


(2) FW1 的 Active 组 会 感知 到 这 一 变化 ， 将 自身 的 优先 级 降低 2 一 个 接口 故障 优 
先 级 降低 2)， 并 将 自身 状态 切换 成 Active To Standby (图 中 简写 为 A To S)。Active To 
Standby 是 一 种 短暂 的 中 间 状 态 ， 用 户 是 不 可 见 的 。 
(3) FW1 的 Active 组 会 向 对 端 发 送 VGMP 请 求 报 文 ， 请 求 将 状态 切换 成 Standby。 
VGMP 请 求 报 文 是 一 种 VGMP 报 文 ， 携 带 本 端 VGMP 组 调整 后 的 优先 级 64999。 
(4) 如 图 9-27 所 示 ，FW2 的 Standby 组 收 到 FW1 的 Active 组 的 VGMP 请 求 报 文 
后 ， 将 会 与 对 端 比较 VGMP 优先 级 。 经 过 比较 后 发 现 本 端的 优先 级 65000 高 于 对 端的 


第 9 章 双 机 热 备 347 





64999， 因 此 FW2 的 Standby 组 会 将 自身 状态 切换 成 Active。 







GE1/0/1 


Er 


----- 妈 报 文 方向 
所 一 > VGMP 监控 


图 9-27 备用 设备 状态 切换 


(5) FW2 的 Standby 组 会 向 对 端 返回 VGMP 应 答 报 文 ， 允 许 对 端 进行 状态 切换 。 

(6) 与 此 同时 FW2 的 Standby 组 会 强制 组 内 的 VRRP 备份 组 1 和 2 也 将 状态 切换 成 
Active。 

(7) FW2 的 VRRP 备份 组 1 和 2 会 分 别 向 下 行 和 上 行 交 换 机 发 送 免费 ARP 报 文 ， 
更 新 它们 的 MAC 转发 表 。 

(8) 如 图 9-28 所 示 ，FW1 的 Active 组 收 到 对 端的 VGMP 确认 报 文 后 ， 会 将 自身 状 
态 切 换 成 Standby。 

(9) FW1 的 Active 组 会 强制 组 内 的 VRRP 备份 组 将 状态 切换 成 Standby。 由 于 
VRRP 备份 组 1 内 的 接口 故障 ,所 以 VRRP 备份 组 1 的 状态 为 Initialize 不 变 , 只 有 VRRP 
备份 组 2 的 状态 切换 成 Standby。 
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下 VRRP 备份 组 
一 ---- 罗 报 文 方向 
所 一 一 > VGMP 监控 


图 9-28 主 备 状态 切换 完成 


(10) 与 此 同时 ， 上 下 行 交换 机 收 到 FW2 的 免费 ARP 报 文 后 会 更 新 MAC 表 项 ， 记 
录 虚 拟 MAC 地 址 与 端口 Eth0/0/2 的 对 应 关系 。 这样 当 上 下 行 的 业务 流量 到 达 交 换 机 后 ， 
交换 机 会 将 流量 转发 到 FW2 上 。 至 此 两 台 防 火 墙 的 主 备 状态 切换 完成 ，FW2 成 为 新 的 
主 用 设备 ，FW1 成 为 新 的 备用 设备 。 

(11) 主 备 状态 切换 完成 后 ， 新 的 主 用 设备 FW2 会 定时 向 新 的 备用 设备 FW1 发 送 心 
跳 报 文 。 


9.2.9 主 用 设备 整 机 故障 后 的 状态 切换 过 程 


当主 用 设备 整 机 故障 后 ， 主 用 设备 的 VGMP 组 将 不 会 再 发 送 HRP 心跳 报 文 。 这 时 
如 果 备 用 设备 的 VGMP 组 连续 三 次 收 不 到 主 用 设备 的 HRP 心跳 报 文 ， 那 么 它 就 会 认定 
对 端的 VGMP 组 故障 ， 从 而 将 自身 切换 到 主 用 状态 。 
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9.2.10 ” 原 主 用 设备 故障 恢复 后 的 状态 切换 过 程 (抢占 ) 


当 原 主 用 设备 故障 恢复 后 ， 如 果 配 置 了 抢占 功能 ， 那 么 原 主 用 设备 将 重新 抢占 成 为 主 
用 设备 ， 具 体 过 程 如 下 文 所 示 。 如 果 没 有 配置 抢占 功能 ， 则 原 主 用 设备 依旧 保持 备份 状态 。 

(1) 如 图 9-29 所 示 ， 原 主 用 设备 的 接口 GE1/0/1 故障 恢复 后 ，VRRP 备份 组 1 的 状 
态 由 Initialize 切换 成 Standby。 


GE1/0/3 _ GE1/03 






~ 上-----~---~-- 直 ~ 


GE1/0/1 0 GE1/0/1 


"Dm 八国 wx 
VRRP 备份 组 ----- 罗 报 文 方向 < 一 > VGMP 监控 


图 9-29 原 主 用 设备 故障 恢复 ， 请 求 状 态 切 换 


(2) FW1 的 Active 组 感知 到 这 一 变化 后 ， 会 将 自身 的 优先 级 升 高 2( 一 个 接口 故障 
恢复 优先 级 升 高 2)， 升 高 到 65001。FW1 的 Active 组 会 与 对 端 比较 VGMP 优先 级 ， 对 
端的 优先 级 信息 是 从 对 端 发 送 的 HRP 心跳 报 文中 获取 的 。 经 过 比较 后 发 现 本 端的 优先 级 
65001 高 于 对 端的 65000。 这 时 如 果 配 置 了 抢占 功能 ， 则 会 启动 抢占 延 时 。 抢占 延 时 结束 
后 ，FW1 的 Active 组 会 将 状态 由 Standby 切换 成 Standby To Active〈 图 中 简写 为 S To A)。 
Standby To Active 是 一 种 短暂 的 中 间 状 态 ， 用 户 是 不 可 见 的 。 

(3) FW1 的 Active 组 会 向 对 端 发 送 VGMP 请 求 报 文 ， 请 求 将 状态 切换 成 Active。 
VGMP 请 求 报 文 是 一 种 VGMP 报 文 ， 携 带 本 端 VGMP 组 调整 后 的 优先 级 65001。 

(4) 如 图 9-30 所 示 ，FW2 的 Standby 组 收 到 FW1 的 Active 组 的 VGMP 请 求 报 文 
后 ， 将 会 与 对 端 比较 VGMP 优先 级 。 经 过 比较 后 发 现 本 端的 优先 级 65000 低 于 对 端的 
65001， 因 此 FW2 的 Standby 组 会 将 自身 状态 由 Active 切换 成 Standby。 

(5) FW2 的 Standby 组 会 向 对 端 返回 VGMP 应 答 报 文 ， 人 允许 对 端 将 状态 切换 成 Active。 

(6) 与 此 同时 ，FW2 的 Standby 组 会 强制 组 内 的 VRRP 备份 组 1 和 2 也 将 状态 切换 
成 Standby。 

(7) 如 图 9-31 所 示 ，FW1 的 Active 组 收 到 对 端的 VGMP 确认 报 文 后 ， 会 将 自身 状 
态 切换 成 Active。 
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GE1/0/3 “ GE1/0/3 





GE1/0/1 GE1/0/1 


口 wn Em 全国 x> 
”>VRRP 备份 组 ----- 径 报 文 方向 < 一 > VGMP 监控 
图 9-30 现 主 用 设备 状态 切换 











交换 机 
| MAC 地 址 | 端口 | 


----- 和 报 文 方向 


所 一 > VGMP 监控 


图 9-31 主 备 状态 切换 完成 ， 原 主 用 设备 成 功 抢占 并 引导 流量 转发 
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(8) FW1 的 Active 组 会 强制 组 内 的 VRRP 备份 组 1 和 2 也 将 状态 切换 成 Active。 

(9) FW1 的 VRRP 备份 组 1 和 2 会 分 别 向 下 行 和 上 行 交 换 机 发 送 免 费 ARP 报 文 ， 
更 新 它们 的 MAC 转发 表 。 上 下 行 交 换 机 收 到 免费 ARP 报 文 后 会 更 新 MAC 表 项 ， 记 录 
虚拟 MAC 地 址 与 端口 Eth0/0/1 的 对 应 关系 。 这 样 当 上 下 行 的 业务 报 文 到 达 交 换 机 后 ， 
交换 机 会 将 报 文 转发 到 FW1 上 。 至 此 两 台 防 火 墙 的 主 备 状态 切换 完成 ，FW1 重新 抢占 


成 为 主 用 设备 ， 而 FW2 重新 成 为 备用 设备 。 


(10) 主 备 状态 切换 完成 后 ， 主 用 设备 FW1 会 定时 向 备用 设备 FW2 发 送 心跳 报 文 。 


9.2.11 


以 上 我 们 描述 的 是 主 备 备份 方式 的 双 机 
热 备 状态 形成 和 切换 过 程 ,下面 我 们 来 看 负载 
分 担 状 态 的 情况 。 

如 图 9-32 所 示 ， 为 了 实现 负载 分 担 方式 
的 双 机 热 备 , 我 们 需要 在 FW1 和 FW2 上 都 启 
用 Active 组 和 Standby 组 ,使 FW1 的 Active 组 
与 FW2 的 Standby 组 进行 通信 ， 构 成 一 组 “ 主 
备 ”FW2 的 Active 组 与 FW1 的 Standby 组 进 
行 通信 ， 也 构成 一 组 “ 主 备 ”。 这 样 两 台 FW 形 
成 互 为 主 备 的 状态 ， 也 就 是 负载 分 担 状 态 。 

两 台 防火 墙 的 负载 分 担 方式 双 机 热 备 的 
配置 如 表 9-2 所 示 。 

由 表 9-2 所 示 可 以 看 到 以 下 两 点 。 

(1) 负载 分 担 场 景 下 ， 每 个 业务 接口 需要 
加 入 两 个 VRRP 备份 组 , 且 这 两 个 VRRP 备份 


负载 分 担 双 机 热 备 状态 形成 过 程 







GE1/0/3 
1.1.1.3/24 


GE1/0/3 
dby 1 1.1.4/24 


GE1/0/1 


GE1/0/1 
10.1.1.3/24Ac by 


10.1.1.4/24 
Active 


PC1 的 网 关 地 址 : 让 ， 


组 要 分 别 加 入 Active 组 和 Standby 组 。 例如 "4 

GE1/0/1 接口 加 入 了 备份 组 1 和 2， 备份 组 1 

和 2 分别 加 入 了 Active 组 和 Standby 组 。 图 9-32 ”负载 分 担 双 机 热 备 组 网 图 
表 9-2 





在 接口 GE1/0/1 上 同 
时 配置 两 个 VRRP 备 
份 组 , 分 别 加 入 Active 
组 和 Standby 组 


在 接口 GE1/0/3 上 同 
时 配置 两 个 VRRP 各 
份 组 , 分 别 加 入 Active 
组 和 Standby 组 





二 二 信和 双 机 热 备 的 配置 


interface GigabitEthernet 1/0/1 
ip address 10.1.1.3 255.255.255.0 


vrp vrid 1 virtual-ip 10.1.1.1 255.255. 


255.0 active 


vrrp vrid 2 virtual-ip 10.1.1.2 255.255. 


255.0 standby 


interface GigabitEthernet 1/0/3 
ip address 1.1.1.3 255.255.255.0 


Vrrp vrid 3 virtual-ip 1.1.1.1 255.255. 


255.0 active 


VITp Vrid 4 virtual-ip 1.1.1.2 255.255. 


255.0 standby 


interface GigabitEthernet 1/0/1 

ip address 10.1.1.4 255.255.255.0 

VIrp vrid 1 virtual-ip 10.1.1.1 255.255. 
255.0 standby 

VIrrp vrid 2 virtual-ip 10.1.1.2 255.255. 
255.0 active 


interface GigabitEthernet 1/0/3 

ip address 1.1.1.4 255.255.255.0 

VIrrp vrid 3 virtual-ip 1.1.1.1 255.255. 
255.0 standby 

VvIrp vrid 4 Virtual-ip 1.1.1.2 255.255. 
255.0 active 
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启用 双 机 要 各 

(2) 两 台 防火 墙 的 相同 编号 的 VRRP 备份 组 需 分 别 加 入 Active 组 和 Standby 组 。 例 

如 FW1 的 VRRP 备份 组 1 加 入 了 Active 组 , FW2 的 VRRP 备份 组 1 加 入 了 Standby 组 。 
如 图 9-33 所 示 ， 配 置 完 成 后 ， 负 载 分 担 方式 的 双 机 热 备 状态 形成 过 程 如 下 。 





@| MAC 地 址 | 端口 | 


克 | MAC 地 址 | 端口 | 


----- > 报 文 方向 
所 一 > VGMP 监控 


图 9-33 负载 分 担 双 机 热 备 状 态 形成 过 程 


(1) FW1 和 FW2 的 Active 组 的 状态 会 由 Initialize 切换 成 Active，Standby 组 的 状态 
由 Initialize 切换 成 Standby。 

(2) 由 于 FW1 的 VRRP 备份 组 1 和 3 加 入 了 Active 组 ， 而 Active 组 的 状态 为 Active， 
所 以 FWI1 的 VRRP 备份 组 1 和 VRRP 备份 组 3 的 状态 都 为 Active。 由 于 FW1 的 VRRP 
备份 组 2 和 4 加 入 了 Standby 组 ， 而 Standby 组 的 状态 为 Standby， 所 以 FW1 的 VRRP 
备份 组 2 和 VRRP 备份 组 4 的 状态 都 为 Standby。 同 理 FW2 的 VRRP 备份 组 1 和 VRRP 
备份 组 3 的 状态 都 为 Standby，VRRP 备份 组 2 和 VRRP 备份 组 4 的 状态 都 为 Active。 
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(3) 这 时 FWI1 的 VRRP 备份 组 1 和 3 会 分 别 向 下 行 和 上 行 交 换 机 发 送 免 费 ARP 报 
文 ， 将 VRRP 备份 组 1 和 3 的 虚拟 MAC 地 址 通知 给 它们 。FW2 的 VRRP 备份 组 2 和 4 
会 分 别 向 下 行 和 上 行 交换 机 发 送 免 费 ARP 报 文 , 将 VRRP 备份 组 2 和 4 的 虚拟 MAC 地 
址 通知 给 它们 。 

(4) 下 行 交换 机 的 MAC 表 项 会 记录 VRRP 备份 组 1 的 虚拟 MAC 地 址 (00-00-5E-00- 
01-01) 与 端口 Eth0/0/1 的 对 应 关系 , VRRP 备份 组 2 的 虚拟 MAC 地 址 (00-00-5E-00-01-02) 
与 端口 Eth0/0/2 的 对 应 关系 。 这 样 当 业务 报 文 到 达 下 行 交 换 机 时 ， 交 换 机 会 根据 目的 
MAC 地 址 不 同 将 报 文 分 别 送 到 FW1 或 FW2 上 。 如 果 交 换 机 的 下 行 设备 将 VRRP 备 
份 组 1 的 地 址 设置 为 默认 网 关 ， 那 么 它 的 报 文 将 会 被 转发 到 FW1。 如 果 将 VRRP 备 
份 组 2 的 地 址 设置 为 默认 网 关 ， 那 么 它 的 报 文 将 会 被 转发 到 FW2。 上 行 交换 机 和 设 
备 与 此 同 理 。 

这 样 FW1 和 FW2 都 会 转发 业务 报 文 ， 所 以 FW1 和 FW2 都 是 主 用 设备 ， 形 成 负载 
分 担 状态 。 

(5) 负载 分 担 状态 形成 后 ，FW1 的 Active 组 会 定期 向 FW2 的 Standby 组 发 送 HRP 
心跳 报 文 ，FW2 的 Active 组 会 定期 向 FW1 的 Standby 组 发 送 HRP 心跳 报 文 。 


9.2.12 “负载 分 担 双 机 热 备 状态 切换 过 程 


两 台 防 火 墙 形成 负载 分 担 方式 的 双 机 热 备 后 ， 如 果 其 中 一 台 防 火 墙 的 接口 故障 ， 那 
么 它们 将 切换 成 主 备 备份 状态 ， 具 体 过 程 如 下 。 

(1) 如 图 9-34 所 示 ， 当 FWI1 的 GE1/0/1 接口 故障 时 ，FW1 的 VRRP 备份 组 1 和 2 
的 状态 都 会 变 成 Initialize。 

(2) FW1 的 Active 组 与 Standby 组 的 优先 级 都 会 降低 2。 这 时 FW1 的 Active 组 的 
优先 级 变 成 64999 低 于 FW2 的 Standby 组 的 优先 级 65000， FW2 的 Standby 组 的 优先 
级 变 成 64998 依旧 低 于 FW2 的 Active 组 的 优先 级 65001。 这 样 经 过 VGMP 组 之 间 的 状 
态 协商 后 ，FW1 的 Active 组 的 状态 切换 成 Standby，FW2 的 Standby 组 的 状态 切换 成 
Active。 

(3) FW1 的 Active 组 和 FW2 的 Standby 组 会 强制 组 内 VRRP 备份 组 也 进行 状态 切 
换 ， 所 以 FW2 的 VRRP 备份 组 1 和 3 的 状态 都 切换 成 Active。 

(4) FW2 的 VRRP 备份 组 1 和 3 会 分 别 向 下 行 和 上 行 交 换 机 发 送 免费 ARP 报 文 ， 
更 新 它们 的 MAC 转发 表 。 

(5) 下 行 交换 机 收 到 免费 ARP 报 文 后 ， 会 更 新 自身 的 MAC 转发 表 , 将 VRRP 备份 
组 1 的 虚拟 MAC 地 址 (00-00-5E-00-01-01) 修改 成 与 Eth0/0/2 对 应 。 同 理 上 行 交 换 机 会 
将 VRRP 备份 组 3 的 虚拟 MAC 地 址 (00-00-5E-00-01-03) 修改 成 与 Eth0/0/2 对 应 。 这 
样 当 上 下 行 的 业务 报 文 到 达 交 换 机 后 , 交换 机 会 将 报 文 都 转发 到 FW2 上 。 至 此 双 机 热 备 
状态 切换 完成 时 ，FW1 成 为 备用 设备 ,， FW2 成 为 主 用 设备 ,负载 分 担 状 态 变 成 主 备 备份 

(6) 负载 分 担 切换 成 主 备 备份 状态 后 ， 主 用 设备 FW2 会 定时 向 备用 设备 FW1 发 送 
心跳 报 文 。 


354 华为 防火 墙 技术 漫谈 


| MAC 地 址 | 端口 


GE1/0/3 
VRRP 备份 组 3 一 2 


~ 





----- > 报 文 方向 
所 一 一 > VGMP 监控 


图 9-34 ”负载 分 担 双 机 热 备 状态 切换 过 程 


9.2.13 ”总 结 


上 面 的 内 容 应 该 可 以 完美 地 回答 “两 台 防 火 墙 的 VGMP 组 的 状态 协商 和 切换 过 程 ， 
以 及 报 文 交 互 过 程 到 底 是 怎样 的 呢 ” 这 个 问题 了 。 由 此 可 知 ，VGMP 在 双 机 热 备 中 主要 
实现 以 下 三 个 功能 。 

1. 故障 监控 

VGMP 组 能 够 监控 VRRP 备份 组 状态 变化 , 从 而 感知 到 VRRP 组 内 接口 的 故障 和 恢 
复 。 强 叔 脑 中 闪 出 新 的 问号 : 那么 VGMP 组 能 不 能 直接 监控 接口 故障 昵 ， 一 定 要 通过 
VRRP 备份 组 监控 接口 么 ? 

2. 状态 切换 

VGMP 组 的 状态 切换 过 程 也 就 是 设备 主 备 状态 切换 的 过 程 。VGMP 组 感知 到 VRRP 
备份 组 状态 变化 后 , 会 调整 自身 的 优先 级 ， 并 与 对 端的 VGMP 组 重新 协商 主 备 状态 。 这 
一 点 比较 清楚 了 ， 本 节 都 是 在 讲 状态 如 何 切 换 和 协商 的 。 

3. 流量 引导 

两 个 VGMP 组 主 备 状 态 建立 或 者 切换 后 ， 会 强制 组 内 VRRP 备份 组 状态 统一 切换 ， 
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然后 由 状态 为 Active 的 VRRP 备份 组 发 送 免费 ARP 来 引导 流量 通过 自身 转发 ， 也 就 是 
通过 主 用 设备 转发 。 强 叔 脑 中 闪 出 新 的 问号 : 如 果 VGMP 组 能 够 直接 监控 接口 的 话 ， 流 
量 引 导 是 如 何 实现 的 呢 ? 

实际 上 VGMP 功能 很 强大 ， 通 过 监控 VRRP 备份 组 状态 实现 防火 墙 故障 监控 和 流 
量 引导 仅仅 是 VGMP 的 一 个 招式 。 这 个 招式 仅仅 适用 于 防火 墙 上 行 或 下 行 设备 是 交换 机 
的 场景 ， 因 为 VRRP 本 身 就 是 为 这 个 场景 量 身 定制 的 。 当 防火 墙 上 行 或 下 行 设备 是 路 由 
器 的 时 候 ，VGMP 就 无 力 应 对 了 么 ? 当然 不 会 的 ! 下 节 我 们 就 对 VGMP 的 更 多 绝招 进 
行 介绍 ， 帮 助 大 家 全 面 了 解 双 机 热 备 功能 ， 做 到 兵 来 将 挡 、 水 来 土 掩 ! 


9.2.14 VGMP 状态 机 


前 面 我 们 学 习 了 VGMP 组 的 各 种 状态 变化 过 程 。 下 面 强 叔 再 通过 解释 VGMP 状态 
机 的 形式 ， 来 帮助 大 家 加 深 对 VGMP 状态 变化 的 理解 。VGMP 组 的 状态 机 如 图 9-35 所 示 。 


DLL 说 明 
本 节 的 VGMP 状态 机 目前 适用 于 USG2000/5000/6000 系列 防火 墙 和 USG9000 系列 防 
火 墙 的 V100R003 版 本 。 


会 启用 双 机 热 备 功能 后 , 各 VGMP 
组 进入 Initialize (初始 化 〉 状 态 。 

鲁 启用 Active 组 后 ,Active 组 的 状 
态 由 Initialize 切换 成 Active。 

全 启用 Standby 组 后 , Standby 组 的 
状态 由 Initialize 切换 成 Standby。 

全 本 端 VGMP 组 监控 的 接口 故障 | 
时 ， 状 态 由 Active 切换 成 Active To 
Standby， 并 发 送 VGMP 请 求 报 文 给 对 
端 设 备 的 VGMP 组 。 

做 本 端 VGMP 组 收 到 对 端的 VGMP ， _ 
请 求 报 文 ， 发 现 自身 优先 级 高 ， 则 将 状 图 9-35 ”VGMP 状态 机 
态 由 Standby 切换 成 Acitve， 并 发 送 VGMP 确认 报 文 给 对 端 设备 的 VGMP 组 。 

会 本 端 VGMP 组 收 到 对 端的 VGMP 确认 报 文 ， 确 认 本 端 需要 进行 状态 切换 ， 则 本 
端的 VGMP 组 状态 由 Active To Standby 切换 成 Standby。 

@ 对 端 VGMP 组 确认 本 端的 VGMP 组 不 需要 进行 状态 切换 或 连续 三 次 没有 回应 本 
端的 VGMP 请 求 报 文 ， 则 本 端的 VGMP 组 状态 由 Active To Standby 切换 成 Active。 

食 本 端 VGMP 组 监控 的 接口 故障 恢复 后 ， 如 果 本 端 VGMP 组 优先 级 高 于 对 端 且 配 
置 了 抢占 功能 ， 则 本 端 VGMP 组 状态 由 Standby 切换 成 Standby To Acitve， 并 向 对 端 发 
送 VGMP 请 求 报 文 。 

鲁 本 端 VGMP 组 收 到 对 端的 VGMP 请 求 报 文 ， 发 现 对 端 优先 级 高 ， 则 将 状态 由 
Active 切换 成 Standby， 并 发 送 VGMP 确认 报 文 给 对 端 设备 的 VGMP 组 。 
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@ 本 端 VGMP 组 收 到 对 端的 VGMP 确认 报 文 ， 确 认 本 端 需 要 进行 状态 切换 ， 则 本 
端的 VGMP 组 状态 由 Standby To Acitve 切换 成 Active， 完 成 抢占 过 程 。 

多 对 端 VGMP 组 确认 本 端的 VGMP 组 不 需要 进行 状态 切换 或 连续 三 次 没有 回应 本 
端的 VGMP 请 求 报 文 ， 则 本 端的 VGMP 组 状态 由 Standby To Acitve 切换 成 Standby。 


9.3 VGMP 招式 详解 


VGMP 与 VRRP 的 配合 只 适用 于 防火 墙 连接 二 层 设 备 的 组 网 。 那 么 当 防火 墙 连接 路 
由 器 或 防火 墙 透明 接 入 网 络 〈 业 务 接口 工作 在 二 层 ) 时 ，VGMP 组 是 使 用 什么 招式 来 应 
对 的 呢 ? 本 节 强 叔 将 为 您 揭秘 VGMP 组 的 其 余 保 留 招式 。 


9.3.1 ”防火墙 连接 路 由 器 时 的 VGMP 招式 


如 图 9-36 所 示 ， 两 台 防 火 墙 上 下 行业 务 接口 工作 在 三 层 ， 连 接 路 由 器 。 防 火 墙 与 路 
由 器 之 间 运 行 OSPF 协议 。 由 于 上 下 行 设 备 不 是 二 层 交 换 机 ， 所 以 VGMP 组 无 法 使 用 
VRRP 组， 这 时 VGMP 组 使 用 的 故障 监控 招式 是 直接 监控 接口 状态 。 其 方法 是 直接 
将 接口 加 入 VGMP 组 。 当 VGMP 组 中 的 接口 故障 时 ，VGMP 组 会 直接 感知 到 接口 状态 
变化 ， 从 而 降低 自身 的 优先 级 。 





PC2 
1.1.1.10/24 












GE1/0/3 
10.2.2.2/24 


1011204 NS 10.1.2.2/24 10.1.1.2/24 


fr Cost 值 增加 65500 Cost 值 增加 65500 


rwi 去 往 PC2 的 路 三 不 十 、 


通过 FW2 去 往 RG3 的 中公 可 这， 
我 选择 通过 FW2 


图 9-36 ”防火墙 上 下 行 连接 路 由 器 的 组 网 


VGMP 组 直接 监控 接口 状态 的 配置 步骤 如 表 9-3 所 示 〈 以 主 备 备份 方 式 的 双 机 热 备 
为 例 )。 


第 9 章 双 机 热 备 357 





表 9-3 VGIMP 组 直接 监控 接口 的 配置 


VGMP 2 1 interface GigabitEthernet 1/0/1 interface GigabitEthernet 1/0/1 
ge 0 组 直接 监控 ip address 10.1.1.2 255.255.255.0 ip address 10.1.2.2 255.255.255.0 
hrp track active hrp track standby 
1 interface GigabitEthernet 1/0/3 interface GigabitEthernet 1/0/3 
be 组 直接 监控 ip address 10.2.1.2 255.255.255.0 ip address 10.2.2.2 255.255.255.0 
hrp track active hrp track standby 


配置 自动 调整 Cost 值 功能 | hrp ospf-cost adjust-enable hrp ospf-cost adjust-enable 


配置 心跳 口 hrp interface GigabitEthernet 1/0/2 hrp interface GigabitEthernet 1/0/2 
启用 双 机 热 备 功能 hrp enable 


[0 说 明 
如 果 是 负载 分 担 方式 的 双 机 热 备 , 则 只 需要 在 每 个 业务 接口 上 同时 执行 hrp track active 
和 hrp track standby， 将 业务 接口 同时 加 入 Active 组 和 Standby 组 。 


【 强 叔 问答 】 看 到 这 里 好 奇 的 读者 们 或 许 会 问 : 不 是 将 接口 加 入 VGMP 组 , 使 VGMP 
组 监控 接口 状态 吗 ? 为 什么 命令 行 是 hrp track 而 不 是 vgmp track 呢 ? 这 是 因为 上 节 讲 
到 VGMP 和 HRP 的 报 文 都 是 由 VRRP 头 和 VGMP 头 封 装 的 ， 区 别 只 在 于 HRP 报 文 还 
需要 再 封装 一 个 HRP 报 文 头 。 所 以 当初 开发 者 设计 命令 时 就 统一 使 用 了 hrp 这 个 参数 ， 
并 流传 至 今 。 

配置 完成 后 ， 我 们 在 FW1 上 执行 命令 display hrp state， 可 以 看 到 接口 GE1/0/1 和 
GE1/0/3 都 加 入 了 Active 组 ， 由 Active 组 监控 。 

HRP_A<FW1> display hrp state 

The firewall’s config state is: ACTIVE 

Cument state of interfaces tracked by active: = 

_GigabitEthernet0/0/1] :up _. 
a 

在 FW2 上 执行 命令 display hrp state， 可 以 看 到 接口 GE1/0/1 和 GE1/0/3 都 加 入 了 
Standby 组 ， 由 Standby 组 监控 。 

HRP_S<FW2> display hrp state 

The firewall’s config state is: Standby 

rt aa of ntisfaces tracked by standby: 
ET 

在 FW1 执行 命令 display hrp group， 可 以 看 到 Active 组 的 状态 为 active， 优 先 级 为 

65001， 而 Standby 组 则 没有 启用 。 


HRP_A<FW1> display hrp group 


Active group status: 
Group enabled: yes 
State: active 


Prior er 65001 
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Total VRRP members: 0 
Hello interval(ms): 1000 
Preempt enabled: yes 
Preempt delay(s): 30 
Peer group available: 1 
Peer’s member same: yes 


Standby group status: 
bled: no 
State: initialize 
Priority running: 65000 
Total VRRP members: 0 
Hello interval(ms): 1000 
Preempt enabled: yes 


Preempt delay(s): 0 
Peer group available: 0 
Peers member Same: yes 


在 FW2 执行 命令 display hrp group， 可 以 看 到 Standby 组 的 状态 为 standby， 优 先 
级 为 65000， 而 Active 组 则 没有 启用 。 


HRP S<FW2> display hrp group 


Active group status: 

Group enabled: no 
State: initialize 
Priority running: 65001 
Total VRRP members: 0 
Hello interval(ms): 1000 
Preempt enabled: yes 
Preempt delay(s): 30 


Peer group available: 1 

Peer’s member same: yes 
Standby group status: 

Group enabled: yes 

Sh .standby 

Total VRRP members: 2 

Hello interval(ms): 1000 

Preempt enabled: yes 

Preempt delay(s): 0 

Peer group available: 1 


这 样 我 们 就 可 以 得 出 以 下 结论 : 配置 完成 后 , FW1 的 VGMP 组 状态 为 Active, FW1 
成 为 主 用 设备 ，FW2 的 VGMP 组 状态 为 Standby，FW2 成 为 备用 设备 。 

在 “9.1 双 机 热 备 概述 ”中 讲 到 ， 如 果 我 们 希望 PC1 访问 PC2 的 流量 通过 FWI1 转 
发 ， 那 么 我 们 就 需要 手工 将 FW2 所 在 链 路 〈R1->FW2->R2) 的 OSPF Cost 值 调 大 。 但 
是 如 果 上 下 行 的 路 由 器 R1 或 R2 我 们 不 方便 或 不 能 配置 时 怎么 办 呢 ? 这 就 需要 用 到 防火 
墙 WGMP 组 的 流量 引导 功能 , 将 流量 自动 引导 到 主 用 设备 上 来 。 这 种 组 网 采用 的 VGMP 
流量 引导 招式 为 通过 自动 调整 Cost 值 实现 流量 引导 ， 即 防火 墙 会 根据 VGMP 组 的 状态 
自动 调整 OSPF 的 Cost 值 〈 命 令 为 hrp ospf-cost adjust-enable)。 启 用 此 功能 后 ， 如 果 
防火 墙 上 存在 状态 为 Active 的 VGMP 组 ， 则 防火 墙 会 正常 对 外 发 布 路 由 ; 如果 防 火 墙 
上 的 VGMP 组 状态 都 为 Standby， 则 防火 墙 会 在 发 布 路 由 时 将 Cost 值 增 加 65500 〈 此 为 
缺 省 值 ， 可 调整 )。 
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CO 说 明 
如 果 是 负载 分 担 组 网 ， 由 于 两 台 防 火 墙 上 都 存在 状态 为 Active 的 VGMP 组 ， 所 以 都 
会 正常 对 外 发 布 路 由 。 


如 图 9-36 所 示 ， 主 用 FW1 (VGMP 组 状态 为 Active) 会 正常 对 外 发 布 路 由 ， 备 用 
设备 FW2(VGMP 组 状态 为 Standby) 会 在 对 上 下 行 设 备 发 布 路 由 时 将 Cost 值 增加 65 500。 
这 样 在 R1 上 来 看 , 通过 FW1 去 往 PC2 的 OSPF Cost 值 为 1+1+1=3, 通过 FW2 去 往 PC2 
的 OSPF Cost 值 为 65 501+1+1=65 503。 因 为 路 由 器 在 转发 流量 时 会 选择 开销 《Cost 值 ) 
更 小 的 路 径 (R1->FW1->R2),， 所 以 内 网 PC1 访问 外 网 PC2 的 流量 会 通过 主 用 设备 FW1 
转发 。 

此 时 ， 在 Rl 的 路 由 表 中 我 们 也 可 以 看 到 ， 去 往 目 的 网 段 1.1.1.0 的 报 文 的 下 一 跳 是 
FW1 的 GE1/0/1 的 地 址 10.1.1.2。 


[R1] display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 
Destinations : 11 Routes : 11 


Destination/Mask Proto Pre Cost Flags NextHop Interface 


当 FW1 的 业务 接口 故障 后 , 两 台 防 火 墙 的 VGMP 组 会 进行 状态 切换 。 状 态 切 换 后 ， 
FW2 的 VGMP 组 状态 切换 成 Active, FW2 成 为 主 用 设备 ; FW1 的 VGMP 组 状态 切换 成 
Standby，FW1 成 为 备用 设备 。 这 时 FW2 正常 对 外 发 布 路 由 不 增加 Cost 值 )，FWI1 发 
布 的 路 由 Cost 值 增加 65500。 而 在 R1 上 来 看 ， 通 过 FW1 去 往 PC2 的 路 径 不 通 〈( 因 为 
FW1 的 上 行 接口 故障 )， 通 过 FW2 去 往 PC2 的 路 径 可 达 且 Cost 值 为 3， 所 以 内 网 PC1 
访问 外 网 PC2 的 流量 会 通过 新 的 主 用 设备 FW2 转发 。 

在 Rl 的 路 由 表 中 我 们 也 可 以 看 到 ， 去 往 目的 网 段 1.1.1.0 的 报 文 的 下 一 跳 变 为 FW2 
的 GE1/0/1 的 地 址 10.1.2.2。 


[R1] display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 11 Routes : 11 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
11.1.0/24 OSPF 10 3 D 10.12.2 GigabitEthernet0/0/2 


9.3.2 ”防火 墙 透 明 接 入 ， 连 接 交 换 机 时 的 VGMP 招式 


如 图 9-37 所 示 ， 两 台 防 火 墙 上 下 行业 务 接口 都 工作 在 二 层 ， 连 接 交 换 机 。 由 于 防火 
墙 的 业务 接口 工作 在 二 层 ， 没 有 卫 地 址 ， 所 以 VGMP 组 无 法 使 用 VRRP 备份 组 或 者 直 
接 监控 接口 的 状态 。 这 时 VGMP 组 使 用 的 故障 监控 招式 是 通过 VLAN 监控 接口 状态 。 
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方法 是 将 二 层 业 务 接口 加 入 VLAN，VGMP 组 监控 VLAN。 当 VGMP 组 中 的 接口 故障 
时 ，VGMP 组 会 通过 VLAN 感知 到 其 中 接口 状态 变化 ， 从 而 降低 自身 的 优先 级 。 








1.1.1.10/24 






Router 
192.168.1.2/24 


00-11-22-33-44-66 MAC 地 址 


192.168.1.2/24 
00-11-22-33-44-66 











_VLAN2 "GE1/0N1 
转发 流量 不 转发 流量 








Eth0/0/2 ” Eth0/0/2 


PC1 
192.168.1.1/24 走 
00-11-22-33-44-55 


PC1 
192.168.1.1/24 
00-11-22-33-44-55 


9-37 ”防火 墙 透明 接 入 连接 交换 机 的 组 网 


VGMP 组 通过 VLAN 监控 接口 状态 的 配置 步骤 〈 主 备 备份 ) 如 表 9-4 所 示 。 
表 9-4 VGMP 组 通过 VLAN 监控 接口 的 配置 〈 主 备 备份 ) 
vlan 2 


port GigabitEthernet 1/0/1 
port GigabitEthernet 1/0/3 
hrp track active 


hrp interface GigabitEthernet 1/0/2 


DO 说 明 

当 防 火 墙 的 业务 接口 工作 在 二 层 ， 连 接 交 换 机 时 ， 不 支持 负载 分 担 方式 的 双 机 热 备 。 
因为 如 果 工 作 于 负载 分 担 方式 ， 则 两 台 设 备 上 的 VLAN 都 被 启用 ， 都 能 够 转发 流量 ， 
整个 网 络 就 会 形成 环 路 。 















vlan 2 
port GigabitEthernet 1/0/1 
port GigabitEthernet 1/0/3 
hrp track standby 


hrp interface GigabitEthernet 1/0/2 


将 二 层 业 务 接口 加 入 同一 
个 VLAN,， 并 配置 VGMP 
组 监控 VLAN 
配置 心跳 口 
启用 双 机 热 备 功能 














配置 完成 后 ，FW1 的 VGMP 组 状态 为 Active，FW1 成 为 主 用 设备 ; FW2 的 VGMP 
组 状态 为 Standby，FW2 成 为 备用 设备 。 由 于 防火 墙 的 业务 接口 工作 在 二 层 ， 防 火 墙 本 
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身 不 能 运行 OSPF 协议 , 因此 VGMP 组 无 法 通过 控制 OSPF Cost 值 的 变化 来 引导 上 下 行 
流量 。 这 时 VGMP 可 以 通过 控制 VLAN 是 否 转发 流量 的 招式 来 保证 流量 引导 到 主 用 设 
备 上 。 当 VGMP 组 状态 为 Active 时 ,组 内 的 VLAN 能 够 转发 流量 ; 当 VGMP 组 状态 为 
Standby 时 ， 组 内 的 VLAN 被 禁用 ， 不 能 转发 流量 。VGMP 控制 VLAN 是 否 转 发 流量 不 
需要 单独 配置 ， 只 需要 将 VLAN 加 入 VGMP 组 即 可 。 

例如 图 9-37 所 示 , 正常 情况 下 , 主 用 设备 FW1(VGMP 组 状态 为 Active) 上 的 VLAN 
被 启用 ,能 够 转发 流量 。 备 用 设备 FW2 (VGMP 组 状态 为 Standby) 上 的 VLAN 被 禁用 ， 
不 能 转发 流量 。 因 此 PC1 访问 PC2 的 流量 都 从 主 用 设备 FW1 转发 。 

当 FW1 的 业务 接口 故障 后 ， 两 台 防 火 墙 的 VGMP 组 会 进行 状态 切换 ， 具 体 切 换 过 
程 请 参见 “9.2.8 ” 主 用 设备 接口 故障 后 的 状态 切换 过 程 ”。 当 FW1 的 VGMP 组 状态 由 
Active 切换 到 Standby 时 ， 组 内 VLAN 中 的 所 有 非 故 障 接口 状态 都 会 Down， 然 后 Up 
一 次 。 这 会 导致 上 下 行 交换 机 更 新 自身 MAC 转发 表 ， 将 目的 MAC 地 址 改 成 与 端口 
Eth0/0/2 的 映射 ， 从 而 将 流量 引导 到 FW2 上 。 这 时 由 于 FW2 的 VGMP 组 状态 已 经 由 
Standby 切换 成 Active， 所 以 FW2 的 VLAN2 能 够 正常 转发 流量 。 


9.3.3 ”防火 墙 透明 接 入 ， 连 接 路 由 器 时 的 VGMP 招式 


如 图 9-38 所 示 ， 两 台 防 火 墙 上 下 行业 务 接口 都 工作 在 二 层 ， 连 接 路 由 器 。 两 台 路 由 
器 之 间 运 行 OSPF。 在 此 种 组 网 中 防火 墙 的 VGMP 组 采用 的 故障 监控 和 流量 引导 方式 与 
“9.3.2 ”防火 墙 透明 接 入 ， 连 接 交 换 机 时 的 VGMP 招式 ”基本 相同 ， 即 通过 VLAN 监控 
接口 状态 实现 故障 监控 ， 通 过 控制 VLAN 是 否 转发 流量 实现 流量 引导 。 











GE0/0/2 GEO/O/1 | 
ww 1.2.2/24 


GEO0/0/1 ig 
10.1.1.2/24 





10.1.2.2/24 
\2 


Active 


by : 3 St 二 Stand : GE1/0 
10.10.0224 i 10.10.0.2/24 
VLAN2 FE BIO [Ey A VLAN2 





/* GE0/0/2 
”10.1.2.1/24 





GEO/O/1 
10.1.1.1/24 





GEO/0/1 
10.1.1.1/24 


图 9-38 ”防火 墙 透明 接 入 连接 路 由 器 的 组 网 
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区 别 之 处 仅 在 于 此 种 组 网 只 支持 负载 分 担 方式 的 双 机 热 备 ， 不 支持 主 备 备份 方式 。 
因为 如 果 工 作 于 主 备 备份 方式 ， 备用 设备 上 的 VLAN 被 禁用 , 它 的 上 下 行路 由 器 就 无 法 
进行 通信 ， 无 法 建立 OSPF 路 由 。 这 样 当主 备 切换 时 ， 新 的 主 用 设备 〈 原 备用 设备 ) 的 
VLAN 被 启用 ， 它 的 上 下 行路 由 器 才 开 始 新 建 OSPF 路 由 。 而 OSPF 路 由 的 新 建 是 需要 
一 定时 间 的 ， 所 以 会 导致 业务 的 暂时 中 断 。 

VGMP 组 通过 VLAN 监控 接口 状态 的 配置 步骤 (负载 分 担 ) 如 表 9-5 所 示 。 

表 9-5 VGMP 组 通过 VLAN 监控 接口 的 配置 (负载 分 担 ) 
人 
将 二 层 业 务 接口 加 入 到 同 
一 VLAN， 并 配置 Active 
组 和 Standby 组 同时 监控 

















vlan 2 
port GigabitEthernet 1/0/1 
port GigabitEthernet 1/0/3 


vlan 2 
port GigabitEthernet 1/0/1 
port GigabitEthernet 1/0/3 












hrp track active hrp track active 
VLAN hrp track standby hrp track standby 
配置 心跳 口 hrp interface GigabitEthernet 1/0/2 | hrp interface GigabitEthernet 1/0/2 
启用 又 机 各 


[0 说 明 

当 防 火 墙 的 业务 接口 工作 在 二 层 ， 连 接 路 由 器 时 ， 不 推荐 主 备 备份 方式 的 双 机 热 备 。 
因为 如 果 工 作 于 主 备 备份 方式 , 备用 设备 上 的 VLAN 被 禁用 ， 它 的 上 下 行路 由 器 就 无 
法 进行 通信 ， 无 法 建立 路 由 。 这 样 主 备 切换 时 ， 备 用 设备 就 无 法 及 时 接替 主 用 设备 处 
理 业 务 ， 导 致 业务 中 断 。 


配置 完成 后 ， 由 于 FW1 和 FW2 上 都 存在 状态 为 Active 的 VGMP 组 ， 所 以 FW1 和 
FW2 都 是 主 用 设备 ， 它 们 的 VLAN2 都 转发 流量 。 这 时 在 R1 的 路 由 表 上 可 以 看 到 去 往 
PC2 的 流量 可 以 分 别 通 过 FW1 和 FW2 转发 。 

<R1> display ip routing-table 

Route Flags: R - relay, D - download to fib 


一 一 一 一 一 下 一 让 一 一 一 一 一 


Routing Tables: Public 


Destinations : 14 Routes : 15 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
1.1.1.0/24 SPF 0 D 10.1.12 igabitE: et0/0/1 
OS 10 > 10.1.22 GigabitEthernet0/0/2 


当 FW1 的 业务 接口 故障 后 ， 两 台 防 火 墙 的 VGMP 组 会 进行 状态 切换 ， 双 机 热 备 状 
态 也 会 由 负载 分 担 变 成 主 备 备份 。 当 FW1 的 VGMP 组 状态 由 Active 切换 到 Standby 
时 ， 组 内 VLAN 中 的 所 有 接口 都 会 Down， 然 后 Up 一 次 。 这 会 导致 上 下 行路 由 器 的 路 
由 变化 并 收敛 ， 从 而 将 流量 全 都 引导 到 FW2 上 。 

此 时 ， 在 下 面 R1 的 路 由 表 中 也 可 以 看 到 ， 去 往 目 的 网 段 1.1.1.0 的 报 文 的 下 一 跳 变 
为 R2 的 GE0/0/2 的 地 址 10.1.2.2。 


<R1>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 10 Routes : 11 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
.1.1.0/24 OO 1 D -10:122 igabi 0/2 
10.1.2.0/24 Direct 0 0 B02 GigabitEthernet0/0/2 


9.3.4 VGMP 组 监控 远 端 接 口 的 招式 


上 面 描述 的 是 VGMP 组 应 对 各 种 双 机 热 备 组 网 的 招式 ， 其 中 VGMP 组 监控 的 是 防 
火 墙 本 身 的 接口 。 下 面 我 们 再 来 学 习 两 个 VGMP 组 监控 远 端 接 口 的 招式 。 远 端 接 口 是 指 
链 路 上 其 他 设备 的 接口 。 当 VGMP 组 监控 的 一 个 远 端 接口 故障 时 ，VGMP 组 优先 级 也 
降低 2。VGMP 监控 防火 墙 自身 接口 的 招式 可 以 和 监控 远 端 接口 的 招式 一 起 使 用 。 

需要 注意 的 是 这 两 种 VGMP 监控 远 端 接口 的 招式 只 能 用 于 防火 墙 业务 接口 工作 在 
三 层 的 组 网 ， 因 为 只 有 业务 接口 工作 在 三 层 才 有 IP 地 址 ， 才 能 对 远 端 设备 发 送 IP-Link 
和 BFD 的 探测 报 文 。 

1. 通过 IP-Link 监控 远 端 接口 状态 

其 方法 是 建立 IP-Link 探测 远 端 接口 ， 然 后 VGMP 组 监控 IP-Link 状态 。 当 了 P-Link 







探测 的 接口 故障 时 ，IP-Link 的 状态 变 成 Down， GE1/0/1 GE1/0/1 
1.1.1.1/24 OQ OQ2.2.2.1/24 


VGMP 组 感知 到 IP-Link 的 状态 变化 ， 从 而 降低 
自身 的 优先 级 。 

如 图 9-39 所 示 ， 我 们 需要 在 FW1 (FW2) 
上 使 用 IP-Linkl 探测 RI (R2) 的 GE1/0/1 接口 ; I 
( 非 直 连 的 远 端 接口 )， 然 后 将 IP-Linkl 加 入 ”Fw 有 
Active 〈Standby) 组 ， 由 Active (Standby) 组 监 


控 IP-Link1 的 状态 。 Sa 
其 具体 配置 如 表 9-6 所 示 〔〈 配 置 的 前 提 条 件 
是 已 配置 完成 双 机 热 备 功能 )。 图 9-39 VGMP 通过 IP-Link 监控 远 端 接口 
VGMP 通过 IP-Link 监控 远 端 


表 9-6 







接口 的 配置 





人 
启用 了 P-Link ip-link check enable ip-link check enable 








ip-link 1 destination 1.1.1.1 
interface GigabitEthernet1/0/3 
mode icmp 


2. 通过 BFD 监控 远 端 接口 状态 

其 方法 是 通过 BFD 探测 远 端 接口 , VGMP 组 监控 BFD 状态 。 当 BFD 探测 的 远 端 接 
口 故障 时 ，BFD 的 状态 变 成 Down，VGMP 组 感知 到 BFD 的 状态 变化 ， 从 而 降低 自身 的 
优先 级 。 

如 图 9-40 所 示 ， 我 们 需要 在 FW1 (FW2) 上 使 用 BFD 会 话 10 探测 R1 (R2) 的 


ip-link 1 destination 2.2.2.1 
interface GigabitEthernet1/0/3 
mode icmp 


hrp track ip-link 1 standby 


配置 P-Link 监控 远 端 地 址 












配置 VGMP 监控 IP-Link 
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GE1/0/1 接口 〈 非 直 连 的 远 端 接口 )， 然 后 将 BFD 会 话 1 加 入 Active (Standby) 组 ， 由 
Active 〈Standby) 组 监控 BFD 会 话 1 的 状态 。 















Ep Deh 


pe 
BFD 标识 符 20 医 全 


BFD 标识 符 20 


E1/0/1 
1.1.1.1/24 | 2.2.2.1/24 


BFD 标识 符 20 


GE1/0/31, 
BFD 标识 符 10 BFD 标识 符 10 


图 9-40 VGMP 通过 BFD 监控 远 端 接口 
其 具体 配置 如 表 9-7 所 示 〈 配 置 的 前 提 条 件 是 已 配置 完成 双 机 热 备 功能 )。 
表 9-7 VGMP 通过 BFD 监控 远 端 接口 的 配置 





bfd 1 bind peer-ip 1.1.1.1 
discriminator local 10 
discriminator remote 20 


hrp track bfd-session 10 active 


bfd 1 bind peer-ip 2.2.2.1 
discriminator local 10 
discriminator remote 20 


hrp track bfd-session 10 standby 


配置 BFD 监控 远 端 地 址 ， 
并 指定 本 地 和 对 端 标识 符 


配置 VGMP 组 监控 BFD 








9.3.5 ”总 结 


综 上 所 述 ， 尽 管 VGMP 组 监 挖 和 流量 引导 招式 五 花 八 门 ， 但 都 遵循 以 下 两 条 准则 。 
。 每 当 VGMP 组 监控 的 一 个 接口 故障 时 ， 无 论 是 直接 监控 还 是 间接 监控 ， 无 论 是 
监控 防火 墙 本 身 的 接口 还 是 远 端 接口 ，VGMP 组 的 优先 级 都 会 降低 2。 
。 只 有 主 用 设备 (VGMP 组 状态 为 Active) 才 会 将 流量 引导 到 本 设备 上 ， 备 用 设备 
(VGMP 组 状态 为 Standby) 则 是 想 办 法 拒绝 将 流量 引导 到 本 设备 上 。 
最 后 ， 我 们 总 结 下 双 机 热 备 各 种 典型 组 网 与 VGMP 故障 监控 和 流量 引导 招式 的 关 
系 ， 有 具体 如 表 9-8 所 示 。 


表 9-8 双 机 热 备 各 种 组 网 的 VGMP 招式 总 结 



















防火 墙 业 务 接 口 。 通过 VRRP 备份 组 监控 接口 | 主 用 设备 会 向 连接 的 交换 机 
工作 在 三 层 , 连接 。 通过 IP-Link 监控 接口 (可 选 ) | 发 送 免 费 ARP 报 文 , 更 新 交 
二 层 交 换 机 。 通过 BFD 监控 接口 (可 选 ) ”| 换 机 的 MAC 转发 表 
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直接 监控 接口 


防火 墙 业务 接口 。 通过 IP-Link 监控 接口 主 用 设备 正常 对 外 发 布 路 由 ， 


工作 在 三 层 ， | 二 4 人 | 。 《可 选 备用 设备 发 布 的 路 由 Cost 值 增 
连接 路 由 器 下 | 。 通过 BFD 监控 接口 加 65 500 
(可 选 ) 

主 用 设备 的 VLAN 能 够 转发 流 

防火 墙 业务 接口 量 ， 备 用 设备 的 VLAN 被 禁用 。 

工作 在 二 层 。 | 只 支持 主 备 | ,。、 , 当主 用 设备 切换 成 备用 设备 时 ， 

(透明 模式 )， 备份 。 | 通过 VLAN 监控 接口 主 用 设备 的 VLAN 中 的 接口 会 

连接 二 层 交 换 机 Down, 然后 Up 一 次 , 触发 上 下 
行 二 层 设备 更 新 MAC 转发 表 

主 用 设备 的 VLAN 能 够 转发 流 

防火 墙 业 务 接口 量 ， 备 用 设备 的 VLAN 被 禁用 。 

工作 在 二 层 。 | 只 支持 负载 | ,。、 | 当主 用 设备 切换 成 备用 设备 时 ， 

(透明 模式 )， 分 担 ”| 通过 VLAN 监控 接口 主 用 设备 的 VLAN 中 的 接口 会 

连接 路 由 器 Down, 然后 Up 一 次 , 触发 上 下 


行 三 层 设备 的 路 由 收敛 


9.4 HRP 协议 详解 


在 前 面 介 绍 VGMP 报 文 结构 时 我 们 看 到 了 几 种 HRP 协议 定义 的 报 文 ， 本 节 强 叔 就 
要 为 大 家 解析 HRP 协议 以 及 这 几 种 HRP 报 文 ， 包 括 : HRP 数据 报 文 、 心 跳 链 路 探测 报 
文 和 HRP 一 致 性 检查 报 文 。 

大 家 可 能 会 问 :“HRP 不 就 是 负责 双 机 的 数据 备份 嘛 ， 有 什么 难度 ? ”其 实 HRP 在 
备份 时 还 是 大 有 文章 的 ， 现 在 强 叔 就 为 大 家 揭秘 这 些 HRP 鲜 为 人 知 的 细节 。 


9.4.1 HRP 概述 


防火 墙 通过 执行 命令 (通过 Web 配置 实际 上 也 是 在 执行 命令 ) 来 实现 用 户 所 需 的 各 
种 功能 。 如 果 备 用 设备 切换 为 主 用 设备 前 ， 配 置 命令 没有 备份 到 备用 设备 ， 则 备用 设备 
无 法 实现 主 用 设备 的 相关 功能 ， 从 而 导致 业务 中 断 。 

如 图 9-41 所 示 ， 主 用 设备 FW1 上 配置 了 允许 内 网 用 户 访问 外 网 的 安全 策略 。 如 果 
主 用 设备 FW1 上 配置 的 安全 策略 没有 备份 到 备用 设备 FW2 上 ,那么 当主 备 状 态 切换 后 ， 
新 的 主 用 设备 FW2 将 不 会 允许 内 网 用 户 访问 外 网 (因为 防火 墙 缺 省 情况 下 禁止 所 有 报 文 
通过 )。 

防火 墙 属 于 状态 检测 防火 墙 ， 对 于 每 一 个 动态 生成 的 连接 ， 都 有 一 个 会 话 表 项 与 之 
对 应 。 主 用 设备 处 理 业 务 过 程 中 创建 了 很 多 动态 会 话 表 项 ;而 备用 设备 没有 报 文 经 过 ， 
因此 没有 创建 会 话 表 项 。 如 果 备 用 设备 切换 为 主 用 设备 前 ， 会 话 表 项 没有 备份 到 备用 设 
备 ， 则 会 导致 后 续 业 务 报 文 无 法 匹配 会 话 表 ， 从 而 导致 业务 中 断 。 

如 图 9-42 所 示 , 主 用 设备 FW1 上 创建 了 PCI 访问 PC2 的 会 话 ( 源 地 址 为 10.1.1.10， 
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目的 地 址 为 200.1.1.10)，PC1 与 PC2 之 间 的 后 续 报 文 会 按照 此 会 话 转发 。 如 果 主 用 设备 
FW1 上 的 会 话 不 能 备份 到 备用 设备 FW2 上 ， 那 么 当主 备 状态 切换 后 ，PC1 访问 PC2 的 
后 续 报 文 在 FW2 上 匹配 不 到 会 话 。 这 样 就 会 导致 PC1 访问 PC2 的 业务 中 断 。 





图 9-41 配置 命令 没有 备份 时 的 情况 






PC2 [| 


200.1.1.10/24 





PC2 / a 


200.1.1.10/24 








我 创建 了 PC1 访问 
。 PC2 的 会 话 , PC 与 
、 PC2 间 的 后 续 报 文 
可 按照 此 会 话 转发 。 





PCL f 
10.1.1.10/24 包 。 


rof 半 上 


10.1.1.10/24 






图 9-42 会 话 没有 备份 时 的 情况 


因此 为 了 实现 主 用 设备 出 现 故障 时 备用 设备 能 平滑 地 接替 工作 ， 必 须 在 主 用 和 备 
用 设备 之 间 备 份 关键 配置 命令 和 会 话 表 等 状态 信息 。 为 此 华为 防火 墙 引 入 了 HRP (Huawei 
Redundancy Protocol) 协议 ， 实 现 防 火 墙 双 机 之 间 动 态 状 态 数据 和 关键 配置 命令 的 


备份 。 
如 图 9-43 所 示 ， 主 用 设备 FW1 上 配置 了 允许 内 网 用 户 访问 外 网 的 安全 策略 ， 所 以 
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FW1 会 允许 内 网 PC1 访问 外 网 PC2 的 报 文 通过 ,并 且 会 建立 会 话 。 由 于 在 FW1 和 FW2 
上 都 使 用 了 HRP 协议 (配置 了 双 机 热 备 中 的 HRP 功能 )， 因 此 主 用 设备 FW1 上 配置 的 
安全 策略 和 创建 的 会 话 都 会 备份 到 备用 设备 FW2 上 。 这 样 当主 备 状态 切换 后 ， 由 于 备用 
设备 上 已 经 存在 允许 内 网 用 户 访问 外 网 的 安全 策略 以 及 PCI1 访问 PC2 的 会 话 , 所 以 PC1 
访问 PC2 业务 报 文 不 会 被 禁止 或 中 断 。 

PC2 fi 


200.1.1.10/24 





PC2 六 大 2 
200.1.1.10/24 a 





我 有 允许 内 网 用 户 访 
” 问 外 网 的 安全 策略 和 
PC1 访问 PC2 的 会 话 。 


我 允许 内 网 用 户 访 
间 外 网 ， 并 创建 了 ) ,, 
PC1 访问 PC2 的 会 话 ./, 





图 9-43 ”会话 和 配置 备份 时 的 情况 


综 上 所 述 , 在 主 备 备份 组 网 下 , 配置 命令 和 状态 信息 都 由 主 用 设备 备份 到 备用 设备 。 
而 在 负载 分 担 组 网 下 ， 两 台 防 火 墙 都 是 主 用 设备 《都 有 状态 为 Active 的 VGMP 组 )。 因 
此 如 果 允 许 两 台 主 用 设备 之 间 能 够 相互 备份 命令 ， 那 么 可 能 就 会 造成 两 台 设 备 命令 相互 
覆盖 或 冲突 的 问题 。 所 以 为 了 方便 管理 员 对 两 台 防 火 墙 配置 的 统一 管理 ， 避 免 混 乱 ， 我 
们 引入 配置 主 和 配置 从 设备 的 概念 。 我 们 定义 负载 分 担 组 网 下 ， 发 送 备 份 配置 命令 的 防 
火 墙 称 为 配置 主 设备 〈 命 令 行 提示 符 前 有 HRP_A 前 缀 ), 接收 备份 配置 命令 的 防火 墙 称 
为 配置 从 设备 〈 命 令 行 提示 符 前 有 HRP_S 前 缀 )。 

在 负载 分 担 组 网 下 ， 配 置 命令 只 能 由 “配置 主 设备 ”备份 到 “配置 备 设备 ”。 状 态 
信息 则 是 两 台 设备 相互 备份 的 。 

在 负载 分 担 组 网 下 ， 最 先 建立 双 机 热 备 状态 的 防火 墙 会 成 为 配置 主 设备 ， 也 就 是 最 
先 启用 双 机 热 备 功能 的 防火 墙 会 成 为 配置 主 设备 。 


9.4.2 HRP 报 文 结构 和 实现 原理 


防火 墙 通过 心跳 口 (HRP 备份 通道 ) 发 送 和 接收 HRP 数据 报 文 来 实现 配置 和 状态 
信息 的 备份 。 如 图 9-44 所 示 ，HRP 数据 报 文 从 外 到 内 依次 封装 了 VRRP 报 文 头 、VGMP 
报 文 头 和 HRP 报 文 头 。 其 中 VRRP 报 文 头 中 Type=2，Type2=2。VGMP 报 文 头 中 的 
“vType” 字 段 对 应 为 “HRP 数据 报 文 ”的 取 值 。 
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图 9-44 ”HRP 数据 报 文 结 构 


HRP 报 文 头 中 的 关键 参数 解释 如 下 。 
。 Source Module ID 和 Source Sub Module ID 表示 本 端 防火 墙 哪些 特性 模块 和 子 模 
块 的 数据 需要 备份 。 
。 Dest Module ID 和 Dest Sub Module ID 表示 需要 向 对 端 防火 墙 的 哪些 特性 模块 和 
子 模块 备份 数据 。 
HRP 数据 备份 的 过 程 如 图 9-45 所 示 。 
(1) FW1 在 发 送 HRP 数据 报 文 时 ， 会 将 ASPF 特性 模块 的 ID 写 入 HRP 报 文 头 的 
“Source Module ID” 和 “Dest Module ID ”字段 中 ， 并 将 ASPF 模块 的 配置 和 表 项 信息 封 
装 到 HRP 数据 报 文中 。 


(2) FW1 将 HRP 数据 报 文通 过 备份 通道 (心跳 线 ) 发 送 给 FW2。 
FW2 收 到 HRP 数据 报 文 后 ,会 根据 HRP 报 文 头 中 的 “Source Module ID” 和 “Dest 


Module ID” 字 段 将 报 文中 的 配置 和 表 项 信息 发 送 到 本 端的 ASPF 特性 模块 ， 并 进行 配置 
与 表 项 的 下 发 。 
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FWI FW2 





图 9-45 ”HRP 数据 备份 过 程 


在 前 面 我 们 讲 到 USG6000 系列 防火 墙 和 USG2000/5000 系列 V300R001 版 本 防火 墙 
还 支持 将 各 种 VGMP 报 文 和 HRP 报 文 封装 成 UDP 报 文 。 当 然 这 里 介绍 的 HRP 数据 报 
文 ,， 以 及 下 面 讲 的 心跳 链 路 探测 报 文 和 一 致 性 检查 报 文 都 支持 这 种 UDP 方式 的 封装 。 这 
种 方式 的 封装 方法 就 是 在 VRRP 报 文 头 上 再 封装 一 个 UDP 头 。HRP 数据 报 文 的 UDP 封 
装 结构 如 图 9-46 所 示 。 





图 9-46 HRP 数据 报 文 的 UDP 封装 结构 


UDP 封装 的 好 处 前 面 我 们 也 讲 过 : UDP 封装 后 的 报 文 是 单 播报 文 ， 只 要 路 由 可 达 
就 可 以 跨越 网 段 传输 ， 而 且 能 够 被 安全 策略 控制 。 


9.4.3 HRP 的 备份 方式 


双 机 热 备 的 HRP 支持 以 自动 备份 、 手 工 批量 备份 和 快速 备份 三 种 方式 。 这 三 种 备份 
方式 的 描述 和 区 别 下 面 我 们 一 一 来 介绍 。 
1.， 自动 备份 
自动 备份 功能 (命令 为 hrp auto-sync [ config | connection-status ] ) 缺 省 为 开启 状态 ， 
能 够 自动 实时 备份 配置 命令 和 周期 性 地 备份 状态 信息 ， 适 用 于 各 种 双 机 热 备 组 网 。 
e。 启用 自动 备份 功能 后 ， 主 用 〈 配 置 主 ) 设备 上 每 执行 一 条 可 以 备份 的 命令 时 ， 此 
配置 命令 就 会 被 立即 同步 备份 到 备用 〈 配 置 备 ) 设备 上 。 
对 于 可 以 备份 的 配置 命令 ， 只 能 在 主 用 (配置 主 ) 设备 上 配置 ， 备 用 (配置 备 ) 
设备 上 不 能 配置 。 对 于 不 可 以 备份 的 配置 命令 , 备用 (配置 备 ) 设备 上 可 以 配置 。 
关于 哪些 配置 命令 可 以 备份 或 不 可 以 备份 请 参见 “9.4.4 HRP 能 够 备份 的 配置 
与 状态 信息 ”。 
e。 启用 自动 备份 功能 后 , 主 用 设备 会 周期 性 地 将 可 以 备份 的 状态 信息 备份 到 备用 设 
备 上 。 即 主 用 设备 的 状态 信息 建立 后 不 会 立即 备份 , 需要 经 过 一 个 周期 后 才 会 备 
份 到 备用 设备 。 
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自动 备份 不 会 备份 以 下 类 型 的 会 话 〈 只 快速 会 话 备 份 支持 )。 

- 到 防火 墙 自身 的 会 话 ， 例 如 管理 员 登 录 防 火 墙 时 产生 的 会 话 。 
- 未 完成 3 次 握手 的 TCP 半 连 接 会 话 。 

- 只 为 UDP 首 包 创建 ， 而 不 被 后 续 包 匹配 的 会 话 。 

2. 手工 批量 备份 

手工 批量 备份 需要 管理 员 手 工 触发 ， 每 执行 一 次 手工 批量 备份 命令 (hrp synec 
{ config | connection-status })， 主 用 设备 就 会 立即 同步 一 次 配置 命令 和 状态 信息 到 备 
用 设备 。 因 此 手工 批量 备份 主要 适用 于 主 备 设 备 之 间 配 置 不 同步 ， 需 要 手工 同步 的 
场景 。 

。 执行 手工 批量 备份 命令 后 ， 主 用 (配置 主 ) 设备 会 立即 同步 一 次 可 以 备份 的 配置 

命令 到 备用 (配置 备 ) 设备 。 

。 执行 手工 批量 备份 命令 后 , 主 用 设备 会 立即 同步 一 次 可 以 备份 的 状态 信息 到 备用 

设备 ， 而 不 必 等 到 自动 备份 周期 的 到 来 。 

3. 快速 备份 

快速 会 话 备 份 功能 (命令 为 hrp mirror session enable)， 适 用 于 负载 分 担 的 工作 方 
式 ， 以 应 对 报 文 来 回路 径 不 一 致 的 场景 。 为 了 保证 状态 信息 的 及 时 同步 ， 快 速 备份 功能 
只 是 备份 状态 信息 ， 不 备份 配置 的 命令 。 配 置 命令 的 备份 由 自动 备份 功能 实现 。 

启用 快速 备份 功能 后 ， 主 用 设备 会 实时 地 将 可 以 备份 的 状态 信息 〈 包 括 上 面 提 到 的 
自动 备份 不 支持 的 会 话 ) 都 同步 到 备用 设备 上 。 即 在 主 用 设备 状态 信息 建立 的 时 候 立 即 
将 其 实时 备份 到 备用 设备 。 

综 上 所 示 ， 三 种 备份 方式 的 使 用 方式 通常 是 : 自动 备份 (hrp auto-sync [ config | 
connection-status ] ) 默认 开启 ， 不 要 关闭 ; 如 果 主 备 设 备 之 间 配 置 不 同步 ， 需 要 执行 手 
工 批量 备份 的 命令 (hrp sync [ config | connection-status ] ); 如 果 是 负载 分 担 组 网 ， 一 般 
需要 开启 快速 会 话 备份 功能 〈hrp mirror session enable ) 。 

下 面 来 讲解 为 什么 快速 会 话 备 份 特别 适用 于 负载 分 担 组 网 ? 

负载 分 担 组 网 下 ， 由 于 两 台 防火 墙 都 是 主 用 设备 ， 都 能 转发 报 文 ， 所 以 可 能 存在 报 
文 的 来 回路 径 不 一 致 的 情况 ， 即 来 回 两 个 方向 的 报 文 分 别 从 不 同 的 防火 墙 经 过 。 这 时 如 
果 两 台 防 火 墙 的 状态 信息 没有 及 时 相互 备份 ， 则 回程 报 文 会 因为 没有 匹配 到 状态 信息 而 
被 丢弃 ， 从 而 导致 业务 中 断 。 

为 防止 上 述 现象 发 生 ， 需 要 在 负载 分 担 组 网 下 配置 快速 会 话 备份 功能 ， 使 两 台 防 火 
墙 能 够 实时 地 相互 备份 状态 信息 ， 使 回程 报 文 能 够 查找 到 相应 的 状态 信息 表 项 ， 从 而 保 
证 内 外 部 用 户 的 业务 不 中 断 。 

下 面 举 个 例子 来 说 明 。 如 图 9-47 所 示 ，FW1 和 FW2 形成 双 机 热 备 的 负载 分 担 组 网 。 
内 网 PC 访问 外 网 Server 的 报 文通 过 FW1 转发 , 并 建立 会 话 。 由 于 来 回路 径 不 一 致 , Server 
返回 给 PC 的 回程 报 文 转发 到 FW2。 这 时 如 果 只 启用 了 自动 备份 功能 ， 则 FW1 的 会 话 还 
没有 来 得 及 备份 到 FW2 上 。 这 就 导致 回程 报 文 无 法 在 FW2 上 匹配 会 话 而 被 FW2 丢弃 ， 
从 而 造成 业务 中 断 。 

这 时 如 果 启 用 了 会 话 快 速 备份 功能 ， 则 FW1 上 产生 的 会 话 会 立即 备份 到 FW2 上 。 
这 样 回程 报 文 就 能 在 FW2 上 匹配 到 会 话 ， 从 而 被 正常 转发 到 PC。 
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1 我 创建 了 PC os 
Server 的 会 话 ， 在 





图 9-47 报 文 来 回路 径 不 一 致 的 情况 


9.4.4 ”HRP 能 够 备份 的 配置 与 状态 信息 
防火 墙 能 够 备份 的 配置 如 下 (以 USG6000 系列 防火 墙 V100R001 版 本 为 例 )。 


策略 : 安全 策略 、NAT 策略 、 带 宽 管 理 、 认 证 策略 、 攻 击 防范 、 黑 名 单 、ASPF。 
对 象 : 地址、 地区、 服务、 应用、 用户、 认证 服务 器 、 时 间 段 、URL 分 类 、 关 
键 字 组 、 邮 件 地 址 组 、 签 名 、 安 全 配置 文件 〈 反 病毒 、 入 侵 防 箱 、URL 过 滤 、 
文件 过 滤 、 内 容 过 滤 、 应 用 行为 控制 、 邮 件 过 滤 )。 

网 络 ， 新 建 逻 辑 接 口 、 安 全 区 域 、DNS、IPSec、SSL VPN、TSM 联动 。 

系统 : 管理 员 、 日 志 配 置 。 


CO 说 明 


一 般 情况 下 ，display、reset、debugging 命令 都 不 支持 备份 。 


根据 上 面 的 描述 我 们 可 以 看 到 ， 防 火 墙 的 网 络 基 本 配置 如 接口 地 址 和 路 由 等 都 不 能 
够 备份 ， 这 些 配置 需要 在 双 机 热 备 状态 成 功 建立 前 配置 完成 。 而 上 面 支持 备份 的 配置 可 
以 在 双 机 热 备 状态 成 功 建立 后 ， 只 在 主 用 设备 上 配置 。 

防火 墙 能 够 备份 的 状态 信息 如 下 。 


会 话 表 
Sever-map 表 
IP 监控 表 
分 片 缓存 表 
GTP 表 
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。 黑 名单 
。 PAT 方式 端口 映射 表 
。 NO-PAT 方式 地 址 映射 表 


9.4.5 


心跳 口 与 心跳 链 路 探测 报 文 


如 图 9-48 所 示 ， 两 台 防 火 墙 之 间 备 份 的 数据 是 通过 防火 墙 的 心跳 口 发 送 和 接收 的 ， 
是 通过 心跳 链 路 (备份 通道 ) 传输 的 。 心 跳 口 必须 是 状态 独立 且 具 有 IP 地 址 的 接口 ， 可 
以 是 一 个 物理 接口 ， 也 可 以 是 为 了 增加 带宽 ， 由 多 个 物理 接口 捆绑 而 成 的 一 个 逻辑 接口 
Eth-Trunk。 通 常情 况 下 ， 备 份 数 据 流量 约 为 业务 流量 的 20% 一 2$5%， 请 根据 备份 数据 量 
的 大 小 选择 捆绑 物理 接口 的 数量 。 














FWI1 GE1/0/] | running running | GE101 FW2 
一 > |1.1.1.2 


@ 心跳 口 。、----> HRP 数据 报 文 等 
图 9-48 ”物理 或 逻辑 接口 作为 心跳 口 


心跳 接口 有 5 种 状态 (执行 命令 display hrp interface 可 以 查看 )。 


invalid: 当 本 端 防火 墙 上 的 心跳 口 配置 错误 时 显示 此 状态 〈 物 理 状 态 Up， 协 议 
状态 Down)， 例 如 指定 的 心跳 口 为 二 层 接口 或 未 配置 心跳 接口 的 卫 地 址 。 
Down: 当 本 端 防火 墙 上 的 心跳 口 的 物理 与 协议 状态 均 为 Down 时 ， 则 会 显示 此 
peerDown: 当 本 端 防火 墙 上 的 心跳 口 的 物理 与 协议 状态 均 为 Up 时 ， 则 心跳 口 
会 向 对 端 对 应 的 心跳 口 发 送 心跳 链 路 探测 报 文 。 如 果 收 不 到 对 端 响应 的 报 文 , 那 
么 防火 墙 会 设置 心跳 接口 状态 为 peerDown。 但 是 心跳 口 还 会 不 断 发 送 心跳 链 路 
探测 报 文 ， 以 便当 对 端的 对 应 心跳 口 Up 后 ， 该 心跳 链 路 能 处 于 连通 状态 。 
ready: 当 本 端 防火 墙 上 的 心跳 口 的 物理 与 协议 状态 均 为 Up 时 ， 则 心跳 口 会 向 
对 端 对 应 的 心跳 口 发 送 心跳 链 路 探测 报 文 。 如 果 对 端 心跳 口 能 够 响应 此 报 文 〈 也 
发 送 心跳 链 路 探测 报 文 ), 那么 防火 墙 会 设置 本 端 心跳 接口 状态 为 ready, 随时 准 
备 发 送 和 接受 心跳 报 文 。 这 时 心跳 口 依旧 会 不 断 发 送 心跳 链 路 探测 报 文 ， 以 保证 
心跳 链 路 的 状态 正常 。 

running: 当 本 端 防火 墙 有 多 个 处 于 ready 状态 的 心跳 口 时 ， 防 火 墙 会 选择 最 先 
配置 的 心跳 口 形成 心跳 链 路 ， 并 设置 此 心跳 口 的 状态 为 running。 如 果 只 有 一 个 
处 于 ready 状态 的 心跳 口 ， 那 么 它 自然 会 成 为 状态 为 running 的 心跳 口 。 状 态 为 
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running 的 接口 负责 发 送 HRP 心跳 报 文 、HRP 数据 报 文 、HRP 一 致 性 检查 报 文 和 
VGMP 报 文 。 这 时 其 余 处 于 ready 状态 的 心跳 口 处 于 备份 状态 ， 当 处 于 running 状 
态 的 心跳 口 或 心跳 链 路 故障 时 ， 其 余 处 于 ready 状态 的 心跳 口 依次 〈 按 配置 先后 顺 
序 ) 接替 当前 心跳 口 处 理 业务 。 如 图 9-49 所 示 ， 由 于 两 台 防 火 墙 心跳 接口 的 配置 顺 
序 与 接口 编号 顺序 相同 , 所 以 先 配置 的 处 于 ready 状态 的 心跳 口 GE1/0/3 成 为 running 
状态 ， 而 后 配置 的 处 于 ready 状态 的 心跳 口 GE1/0/4 处 于 备份 状态 。 





--- > HRP 心跳 链 路 探测 报 文 
一 -一 > HRP 数据 报 文 等 


图 9-49 心跳 口 状态 


综 上 所 述 ， 心 跳 链 路 探测 报 文 的 作用 是 检测 对 端 设备 的 心跳 口 能 否 正常 接收 本 端 设 
备 的 报 文 , 以 确定 心跳 链 路 是 否 可 用 。 只 要 本 端 心跳 接口 的 物理 和 协议 状态 up 就 会 向 对 
端 心跳 口 发 送 心跳 链 路 探测 报 文 进行 探测 。 

心跳 链 路 探测 报 文 也 是 由 新 VRRP 报 文 头 封装 的 ， 当 新 VRRP 报 文 头 中 Type=2， 
Type2=1 时 ， 报 文 封装 成 心跳 探测 链 路 报 文 。 

而 我 们 在 前 面 讲 到 的 HRP 心跳 报 文 是 用 于 探测 和 感知 对 端 设备 “VGMP 组 ) 是 否 
正常 工作 的 .HRP 心跳 报 文 只 有 主 用 设备 的 VGMP 组 通过 状态 为 running 的 心跳 口 发 出 。 


9.4.6 ”HRP 一 致 性 检查 报 文 的 作用 与 原理 


HRP 一 致 性 检查 报 文 用 于 检测 双 机 热 备 状态 下 的 两 台 防 火 墙 的 双 机 热 备 配置 是 否 
一 致 以 及 策略 配置 是 否 相 同 。 双 机 热 备 配 置 的 一 致 性 检查 包括 两 台 防 火 墙 是 否 监控 了 相 
同 的 业务 接口 ， 是 否 配 置 了 相同 的 心跳 接口 等 。 策 略 配 置 一 致 性 检查 主要 检查 两 台 防 火 
墙 是 否 配 置 了 相同 的 策略 ,包括 安全 策略 、 带 宽 策略 、NAT 策略 、 认 证 策略 和 审计 策略 。 
HRP 一 致 性 检查 报 文 也 是 由 VRRP 报 文 头 封装 的 ， 当 VRRP 报 文 头 中 Type=2，Type2=5 
时 ， 报 文 封装 成 HRP 一 致 性 检查 报 文 。 

HRP 一 致 性 检查 的 实现 原理 如 下 。 

(1) 执行 一 致 性 检查 命令 (hrp configuration check { all | audit-policy | auth-policy | 
hrp | nat-policy | security-policy | traffic-policy } ) 后 , 执行 此 命令 的 设备 会 发 送 一 致 性 检 
查 请 求 报 文 给 对 端 ， 并 且 同 时 收集 自身 的 相关 模块 的 配置 信息 摘要 。 

(2) 对 端 设备 收 到 请 求 后 ， 会 收集 自身 相关 模块 的 配置 信息 摘要 ， 然 后 封装 到 一 致 
性 检查 报 文中 返回 给 本 端 设备 。 


374 华为 防火 墙 技术 漫谈 


(3) 本 端 设备 会 对 比 自 身 的 配置 摘要 和 对 端 设 备 的 配置 摘要 ， 并 记录 比较 信息 。 客 
户 可 以 执行 命令 display hrp configuration check 查看 一 致 性 检查 结果 。 例 如 下 面 的 结果 
表示 双 机 热 备 配置 一 致 。 

HRP_A<FWA> display hrp configuration check hrp 
Module -State Starttime ， Endtime Result 


hrp ‘finish 2008/09/08 14:21:56 2008/09/08 14:21:56 same configuration 


9.5 ” 双 机 热 备 配置 指导 


在 部 署 双 机 热 备 前 ， 请 先 选 择 适合 自身 网 络 特点 的 双 机 热 备 组 网 ， 包 括 : 
。 防火 墙 业务 接口 工作 在 三 层 ， 连 接 交 换 机 ; 
。 防火 墙 业务 接口 工作 在 三 层 ， 连 接 路 由 器 ; 
。 防火 墙 业务 接口 工作 在 二 层 ， 连 接 交换 机 ; 
。 防火 墙 业务 接口 工作 在 二 层 ， 连 接 路 由 器 。 
其 中 防火 墙 业务 接口 工作 在 三 层 时 ， 经 常会 存在 上 下 行 连 接 不 同 设备 的 组 网 ， 例 如 
上 行 连接 交换 机 ， 下 行 连接 路 由 器 。 这 其 实 也 没有 什么 特殊 之 处 ， 我 们 只 需要 在 上 行 按 
照 连 接 交 换 机 的 组 网 进行 部 署 ， 下 行 按照 连接 路 由 器 的 组 网 进行 部 署 即 可 。 
在 确定 了 双 机 热 备 组 网 方式 后 ， 我 们 还 需要 确定 是 选择 主 备 备份 方式 还 是 负载 分 担 
方式 的 双 机 热 备 。 一 般 情况 下 ， 我 们 主要 遵循 以 下 原则 。 
。 如 果 主 备 备 份 和 负载 分 担 方式 的 双 机 热 备 都 能 够 正常 承担 现 网 流量 转发 , 且 客户 
又 没有 特殊 需求 ， 我 们 一 般 推 荐 部 署 主 备 备份 方式 。 
。 如 果 客 户 组 网 的 其 他 部 分 (例如 出 口 网 关 、 核 心 交换 机 等 〉 都 部 署 了 负载 分 担 ， 
那么 客户 一 般 也 会 要 求 防火 墙 部 署 成 负载 分 担 方式 。 
。 当 一 台 防 火 墙 承担 业务 转发 时 ， 如 果 它 的 会 话 表 、 香 吐 量 和 CPU 使 用 率 这 三 个 
重要 参数 中 的 一 个 或 多 个 长 期 超过 最 大 值 的 80% 时 ， 必 须 调 整 成 负载 分 担 方式 
的 双 机 热 备 。 
。 当 防 火 墙 启用 IPS、AV 等 内 容 安全 功能 后 ， 性 能 会 有 所 下 降 。 如 果 一 台 防 火 墙 
的 转发 性 能 下 降 到 低 于 现 网 总 容量 时 ， 则 必须 调整 成 负载 分 担 方式 的 双 机 热 备 。 
不 同 的 双 机 热 备 组 网 对 主 备 备份 和 负载 分 担 方式 的 支持 情况 不 同 ， 有 具体 如 表 9-9 所 示 。 


表 9-9 主 备 备份 和 负载 分 担 方式 支持 情况 








防火 墙 业务 接口 工作 在 三 层 ， 连 接 交 换 机 支持 
防火 墙 业务 接口 工作 在 三 层 ， 连 接 路 由 器 支持 
防火 墙 业 务 接口 工作 在 二 层 ， 连 接 交 换 机 不 支持 
防火 墙 业务 接口 工作 在 二 层 ， 连 接 路 由 器 支持 


在 部 署 和 配置 双 机 热 备 之 前 我 们 还 需要 对 两 台 防 火 墙 的 硬件 和 软件 进行 检查 ， 具 体 
包括 以 下 几 点 。 
。 两 台 防火 墙 的 产品 型 号 和 硬件 配置 必须 一 致 ， 包括: 接口 板 〈 接 口 卡 )、 业务 板 、 
主 控 板 的 位 置 、 类 型 和 数目 。 
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。 两 台 防 火 墙 的 软件 版 本 和 Bootroom 版 本 必须 一 致 。 
。 建议 两 台 防 火 墙 的 配置 文件 均 为 初始 的 配置 文件 。 
9.5.1 配置 流程 


双 机 热 备 的 配置 流程 如 图 9-50 所 示 。 双 机 热 备 的 配置 流程 图 可 以 帮助 大 家 理解 我 们 
之 前 讲 的 双 机 热 备 各 协议 之 间 的 关系 ， 以 及 记忆 双 机 热 备 的 配置 逻辑 。 


人 配置 VGMP 
监控 接口 





图 9-530” 双 机 热 备 配置 流程 图 


双 机 热 备 配置 流程 图 各 步骤 的 具体 解释 如 下 。 

1. 完成 网 络 基本 配置 

接口 : 如 果 防 火 墙 的 业务 接口 工作 在 三 层 ， 则 需要 为 各 个 业务 接口 配置 人 P 地 址 。 业 
务 接口 的 了 P 地 址 必须 固定 ， 因 此 双 机 热 备 特性 不 能 与 PPPoE 拨号 、DHCP Client 等 自动 
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获取 IP 地 址 的 特性 结合 使 用 。 
如 果 防 火 墙 的 业务 接口 工作 在 二 层 ， 则 需要 将 业务 接口 转换 成 二 层 接口 后 ， 加 入 同 
一 个 VLAN。 
另外 ， 主 备 设备 需要 选择 相同 的 业务 接口 和 心跳 口 。 例 如 主 用 设备 选择 GigabitEthemet1/ 
0/1 作为 业务 接口 ， 选 择 GigabitEthernet1/0/7 作为 心跳 口 ， 那 么 备用 设备 也 需要 这 样 
选择 。 
安全 区 域 : 无 论 是 二 层 还 是 三 层 接口 ， 无 论 是 业务 接口 还 是 心跳 口 ， 都 需要 加 入 安 
全 区 域 。 主 备 设备 的 对 应 接口 必须 加 入 到 相同 的 安全 区 域 。 如 主 用 设备 的 GigabitEthernet1/ 
0/1 接口 加 入 了 Trust 区 域 ， 那 么 备用 设备 的 GigabitEthernet1/0/1 接口 也 必须 加 入 Trust 
区 域 。 
路 由 : 如 果 防 火 墙 的 业务 接口 工作 在 三 层 连接 交换 机 ， 我 们 一 般 需 要 在 防火 墙 
上 配置 静态 路 由 ; 如 果 防 火 墙 的 业务 接口 工作 在 三 层 连接 路 由 器 , 我 们 一 般 需 要 在 防 
火 墙 上 配置 OSPF; 如 果 防 火 墙 的 业务 接口 工作 在 二 层 ， 一 般 不 需要 在 防火 墙 上 配置 
路 由 。 
安全 策略 : 在 双 机 热 备 部 署 中 ， 防 火 墙 与 其 他 设备 之 间 主 要 有 以 下 报 文 交互 。 
。 两 台 防 火 墙 之 间 通 过 心跳 口交 互 各 种 VGMP 报 文 和 HRP 报 文 。 
。 两 台 防 火 墙 之 间 通 过 业务 口交 互 VRRP 报 文 。 
。 当 防 火 墙 业务 接口 工作 在 三 层 连接 交换 机 时 ， 防 火 墙 会 向 交换 机 发 送 免 费 ARP 
报 文 。 
。 当 防 火 墙 业务 接口 工作 在 三 层 连接 路 由 器 时 ， 防 火 墙 需要 与 路 由 器 交互 OSPF 
报 文 。 
当 防 火 墙 业 务 接口 工作 在 二 层 时 ， 上 下 行 设 备 之 间 的 OSPF 报 文 需要 通过 防火 墙 。 
为 了 保证 汉 机 斥 各 妆 帮 的 正常 建立 我 们 需要 配置 相应 的 安全 策略 ， 保 证 上 述 报 文 
的 正常 转发 ， 具 体 如 表 9-10 所 示 。 


表 9-10 建立 双 机 热 备 所 需 的 安全 策略 





。 对 于 USG9000 系列 防火 墙 ， VGMP 报 文 和 HRP 报 文 不 受 安全 策略 
控制 
。 对 于 USG2000/5000/6000 系列 防火 墙 ， 如 果 配 置 心跳 口 时 不 指定 
VGMP 报 文 和 HRP 报 文 remote 参数 ， 则 VGMP 报 文 和 HRP 报 文 为 组 播报 文 ， 不 受 安全 策 
略 控制 ; 如 果 指定 remote 参数 , 则 VGMP 报 文 和 HRP 报 文 会 封装 
成 UDP 单 播报 文 , 需要 在 心跳 口 所 在 安全 区 域 与 Local 区 域 间 配置 
安全 策略 ， 人 允许 目的 端口 为 18514 的 报 文 双向 通过 


VRRP 报 文 VRRP 报 文 是 组 播报 文 ， 不 受 安全 策略 控制 
免费 ARP 报 文 免费 ARP 报 文 是 广播 报 文 ， 不 受 安全 策略 控制 

ee 在 上 /下 行业 务 接口 所 在 安全 区 域 与 Local 区 域 之 间 配 置 安全 策略 ， 多 
到 达 防 火 墙 的 OSPF 报 文 “| 许 协 议 类 型 为 OSPF 的 报 文通 过 


二 在 上 行业 务 接口 所 在 区 域 与 下 行业 务 接口 所 在 区 域 之 间 配 置 安全 策略 ， 
通过 防火 墙 的 OSPF 报 文 “| 允许 协议 类 型 为 OSPF 的 报 文通 过 
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[0 说 明 

双 机 热 备 成 功 建立 后 ， 能 够 备份 安全 策略 的 配置 。 但 是 上 述 提 到 的 安全 策略 是 双 机 热 
备 建 立 的 基础 ， 因 此 需要 在 配置 双 机 热 备 前 ， 在 两 台 防 火 墙 上 分 别 完成 。 

配置 安全 策略 时 ， 我 们 一 般 是 先 将 缺 省 的 安全 策略 动作 设置 为 允许 ， 然 后 在 配置 完 精细 的 
安全 策略 后 ， 将 缺 省 的 安全 策略 动作 恢复 为 禁止。 


2， 配 置 VGMP 监控 接口 

当 防 火 墙 业务 接口 工作 在 三 层 连 接 交 换 机 时 ， 需 要 在 接口 上 配置 VRRP 备份 组 。 

。 主 备 备份 方式 下 ， 需 要 在 主 用 设备 的 业务 接口 上 配置 一 个 VRRP 备份 组 ， 然 后 

将 这 个 VRRP 备份 组 加 入 Active 组 ;在 备用 设备 的 业务 接口 上 配置 同一 个 VRRP 
备份 组 ， 然 后 将 这 个 VRRP 备份 组 加 入 Standby 组 。 

。 负载 分 担 方式 下 ， 需 要 在 每 台 设 备 的 每 个 业务 接口 上 配置 两 个 VRRP 备份 组 ， 

并 分 别 加 入 Active 组 和 Standby 组 。 两 台 设 备 上 的 同一 个 VRRP 备份 组 需要 加 
入 不 同 的 VGMP 组 ， 即 一 个 加 入 Active 组 ， 一 个 加 入 Standby 组 。 

当 防 火 墙 业务 接口 工作 在 三 层 连接 路 由 器 时 ， 需 要 在 接口 上 配置 VGMP 直接 监控 
接口 。 

。 主 备 备份 方式 下 ， 需 要 将 主 用 设备 的 业务 接口 都 加 入 Active 组 ， 备 用 设备 的 业 

务 接口 都 加 入 Standby 组 。 在 这 种 组 网 的 方式 下 ， 还 需要 配置 根据 VGMP 状态 
自动 调整 OSPF Cost 值 功能 (hrp ospf-cost adjust-enable ) 。 
e 负载 分 担 方 式 下 ， 需 要 将 每 台 设 备 的 业务 接口 同时 加 入 Active 组 和 Standby 组 。 
当 防 火 墙 业务 接口 工作 在 二 层 ， 需 要 在 VLAN 上 配置 VGMP 监控 VLAN。 
。 主 备 备份 方式 下 ， 需 要 将 主 用 设备 的 业务 接口 都 加 入 同一 VLAN， 然 后 将 这 个 
VLAN 加 入 Active 组 ;需要 将 备用 设备 的 业务 接口 都 加 入 同一 VLAN， 然 后 将 
这 个 VLAN 加 入 Active 组 。 

。 负载 分 担 方式 下 ， 需 要 将 每 台 设 备 的 业务 接口 都 加 入 到 同一 VLAN,， 然后 将 这 个 
VLAN 同时 加 入 Active 组 和 Standby 组 。 

当 防 火 墙 需要 监控 远 端 接口 时 ， 需 要 配置 VGMP 监控 远 端 接口 。 

VGMP 监控 远 端 接口 有 两 种 方式 : 通过 IP-Link 监控 和 通过 BFD 监控 ,一 般 情况 下 ， 
这 两 种 方式 选择 其 一 即 可 。 

3. 配置 心跳 接口 

一 般 情 况 下 , 我 们 建议 两 台 防 火 墙 的 心跳 口 直接 相连 , 这 时 不 需要 配置 remote 参数 
(例如 hrp track interface GigabitEthernet1/0/7)。 

如 果 需 要 两 台 防 火 墙 的 心跳 口 通过 三 层 设备 相连 或 者 使 用 业务 接口 作为 心跳 口 , 这 时 
需要 配置 remote 参数 ， 指 定 对 端 接口 的 地 址 (如 hrp track interface GigabitEthernetl/ 
0/7 remote 10.1.1.2)。 配 置 remote 参数 后 ， 报 文 封装 成 UDP 单 播报 文 ， 需要 受到 安全 策 
略 控 制 ， 这 个 前 面 已 经 讲 到 。 

4. 启用 双 机 热 备 

以 上 配置 完成 后 ， 我 们 需要 执行 hrp enable 命令 ， 启 用 双 机 热 备 功能 。 如 果 上 述 配 
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置 正 确 ， 双 机 热 备 状态 就 能 够 成 功 建 立 ， 并 且 分 别 在 两 台 设 备 上 出 现 命令 行 提示 符 
HRP A 和 HRP S。 

5. 配置 备份 方式 

自动 备份 (hrp auto-sync [ config | connection-status ]) 功能 默认 开启 ， 建 议 不 要 
关闭 。 

如 果 主 备 设备 之 间 配 置 不 同步 ， 需 要 执行 手工 批量 备份 的 命令 (hrp sync [ config | 
connection-status ] ) 。 

如 果 是 负载 分 担 组 网 ,一 般 需 要 开启 快速 会 话 备 份 功能 (hrp mirror session enable ) 。 

6. 配置 安全 业务 

双 机 热 备 成 功 建立 后 ， 一 般 的 安全 业务 配置 都 会 由 主 用 (配置 主 ) 设备 备份 到 备用 
设备 上 , 因此 我 们 只 需要 在 主 用 设备 上 配置 安全 业务 即 可 , 而 不 需要 在 备用 设备 上 配置 。 
常见 的 安全 业务 有 安全 策略 、NAT、 攻 击 防范 、 带 宽 管理 和 VPN 等 。 


9.5.2 ”配置 检查 和 结果 验证 


双 机 热 备 配置 完成 后 ， 我 们 需要 进行 配置 检查 和 结果 验证 。 其 具体 步骤 如 下 。 

步骤 1 查看 命令 行 提示 符 的 显示 。 

双 机 热 备 成 功 建立 后 ， 如 果 防 火 墙 的 命令 行 提示 符 上 有 HRP_A 的 标识 ， 表 示 此 防 
火 墙 和 另外 一 台 防 火 墙 进行 协商 之 后 成 为 主 用 设备 。 如 果 命 令 行 上 有 HRP_S 的 标识 ， 
表示 此 防火 墙 和 另外 一 台 防 火 墙 进行 协商 之 后 成 为 备用 设备 。 

步骤 2 按照 表 9-11 检查 双 机 热 备 的 关键 配置 是 否 正确 。 

















表 9-11 双 机 热 备 配 置 检查 checklist 
J 
1 必 选 两 台 防 火 墙 的 产品 型 号 、 软 件 版 本 一 致 display version 
2 两 台 防火 墙 的 接口 卡 类 型 和 安装 位 置 一 致 display device 
3 display hrp state 
4 两 台 防 火 墙 使 用 相同 的 心跳 口 display hrp interface 


5 可 先 如 果 采 用 Eth-Trunk 作为 备份 通道 ， 两 台 防火 墙 的 | display 
Eth-Trunk 成 员 接 口 相 同 eth-trunk trunk-id 


E 可 选 | 如 果 使 用 业务 通道 作为 备份 通道 , 必须 在 指定 心跳 oo 
口 的 同时 指定 对 端 心跳 口 的 IP 地 址 |include hrp interface 


7 两 台 防 火 墙 的 接口 加 入 到 相同 的 安全 区 域 display zone 


g display hrp 
两 侣 防火墙 的 配置 一 致 :包括 双 机 热 备 .审计 策略 、| Cospiay mr 
认证 策略 、 安 全 策略 、NAT 策略 和 带宽 策略 pe 


all 
业务 接口 工作 在 三 层 


两 台 防 火 墙 的 接口 已 经 配置 IP 地址 













display ip interface 
brief 






如 果 防火 墙 连接 交换 机 , 则 两 台 防 火 墙 的 业务 接口 
需要 加 入 相同 的 VRRP 备份 组 、 共 享 一 个 虚拟 人 P 
地 址 





display vrrp interface 
interface-type 
interface-number 
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( 续 表 ) 





业务 接口 工作 在 三 层 


必 选 如 果 防 火 墙 连接 交换 机 ， 防 火 墙 的 上 下 行 设 备 将 
VRRP 备份 组 的 虚拟 IP 地 址 设置 为 下 一 跳 地址 

如 果 防 火 墙 连接 路 由 器 , 则 两 台 防 火 墙 的 业务 接口 
需要 加 入 正确 的 VGMP 组 。 主 备 备 份 时 ， 主 用 设 
备 的 业务 接口 加 入 Active 组 ， 备 用 设备 的 业务 接 
口 加 入 Standby 组 。 负 载 分 担 时 ， 两 台 设备 的 业务 
接口 都 加 入 Active 组 和 Standby 组 
| | 防火 墙 正 确 运行 OSPF 协 | display ospf 
和 | 剖 且 OSPF 区 域 不 包括 心跳 口 [process-id ] brief 


如 果 防火 墙 连接 路 由 器 , 则 需要 配置 根据 主 备 状态 | display 
调整 OSPF Cost 值 功能 


current-configuration 
业务 接口 工作 在 二 


| include hrp ospf-cost 
防火 墙 的 上 下 行业 务 接 口 加 入 到 同一 个 VLAN 中 


防火 墙 的 VLAN 需要 加 入 正确 的 VGMP 组 。 主 备 
必 选 备份 时 ， 主 用 设备 的 VLAN 加 入 Active 组 ， 备 用 
设备 的 VLAN 加 入 Standby 组 。 负载 分 担 时 , 两 台 
设备 的 VLAN 都 加 入 Active 组 和 Standby 组 


如 果 防 火 墙 连接 交换 机 ， 则 必 选 使 用 主 备 备份 方式 
如 果 防火 墙 连接 路 由 器 ， 则 必须 使 用 负载 分 担 方式 
负载 分 担 专用 

current-configuration 


启用 会 话 快速 备份 功能 
| include hrp mirror 
display 
可 选 正确 指定 NAT 地 址 池 的 端口 范围 ! i 


current-configuration 
[0 说 明 


| include hrp nat 
请 在 防火 墙 正式 上 线 前 ， 完 成 步骤 3 和 步骤 4 的 验证 。 





检查 防火 墙 的 上 下 行 设备 的 
静态 路 由 配置 















display hrp state 















display port vlan 


[interface-type 
interface- number | 





display hrp state 

















display hrp group 








display hrp group 









display 






步骤 3 在 主 用 设备 接口 视图 下 ， 执 行 命令 shutdown， 验 证 主 备 设备 是 否 进 行 切 换 。 

在 主 用 设备 的 一 个 业务 接口 下 执行 命令 shutdown 后 ， 主 用 设备 此 接口 的 状态 变 为 
Down， 其 他 接口 工作 正常 。 备 用 设备 的 标记 由 HRP_S 变 为 HRP_A， 主 用 设备 的 标记 由 
HRP_A 变 为 HRP S， 且 业务 正常 转发 ， 说 明 主 备 机 切换 成 功 。 

在 主 用 设备 的 相同 接口 上 执行 命令 undo shutdown 后 ， 主 用 设备 此 接口 的 状态 变 为 
Up。 在 经 过 抢占 延迟 时 间 后 ， 主 用 设备 的 标记 由 HRP_S 变 为 HRP_A， 备 用 设备 的 标记 
由 HRP_A 变 为 HRP S， 且 业务 正常 转发 ， 说 明 故 障 恢复 时 抢占 成 功 。 

步骤 4 在 主 用 设备 用 户 视 图 下 ， 执 行 命令 reboot， 通 过 命令 行 重启 主 用 设备 ， 验 
证 主 备 设备 是 否 进行 切换 。 
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在 主 用 设备 上 执行 命令 reboot， 如 果 备 用 设备 的 标记 由 HRP_S 变 为 HRP A， 且 业 
务 正常 转发 ， 说 明 主 备 机 切换 成 功 。 

主 用 设备 重启 完成 后 ， 重 新 正常 工作 。 在 经 过 抢占 延迟 时 间 后 ， 主 用 设备 的 标记 由 
HRP_S 变 为 HRP_ A， 备 用 设备 的 标记 由 HRP_A 变 为 HRP S， 且 业务 正常 转发 ， 说 明 
故障 恢复 时 抢占 成 功 。 


9.6 ” 双 机 热 备 旁 挂 组 网 分 析 


前 面 我 们 介绍 了 两 台 防 火 墙 双 机 热 备 直 路 部 署 在 网 络 中 ， 以 及 透明 接 入 到 网 络 中 的 
场景 。 此 外 两 台 防 火 墙 还 支持 双 机 旁 挂 部 署 的 场景 。 目 前 比较 常见 的 是 ， 两 台 防 火 墙 旁 
挂 在 数据 中 心 核心 交换 机 上 ， 且 两 台 防 火 墙 之 间 形 成 双 机 热 备 。 

防火 墙 旁 挂 部 署 的 优点 主要 在 于 以 下 几 点 。 

(1) 可 以 在 不 改变 现 有 网 络 物理 拓扑 的 情况 下 ， 将 防火 墙 部 署 到 网 络 中 。 

(2) 可 以 有 选择 地 将 通过 核心 交换 机 的 流量 引导 到 防火 墙 上 ， 即 对 需要 进行 安全 检 
测 的 流量 引导 到 防火 墙 上 进行 处 理 ， 对 不 需要 进行 安全 检测 的 流量 直接 通过 交换 机 转发 。 

将 流量 由 交换 机 引导 到 旁 挂 的 防火 墙 上 主要 有 两 种 常见 方式 : 静态 路 由 方式 和 策略 
路 由 方式 。 

下 面 我 们 来 具体 讲解 这 两 种 方式 下 的 流量 分 析 和 防火 墙 双 机 热 备 配置 。 


9.6.1 通过 VRRP 与 静态 路 由 的 方式 实现 双 机 热 备 旁 挂 


如 图 9-51 所 示 ， 如 果 希 望 通过 静态 路 由 方式 将 经 过 核心 交换 机 的 流量 引导 到 防火 
墙 ， 则 需要 在 核心 交换 机 上 配置 静态 路 由 ， 下 一 跳 为 防火 墙 接口 的 地 址 。 但 是 一 般 核 心 
交换 机 与 上 行路 由 器 和 下 行 汇 聚 交换 机 之 间 运 行 OSPF， 而 由 于 OSPF 的 路 由 优先 级 高 
于 静态 路 由 ， 所 以 流量 到 达 核 心 交 换 机 后 会 根据 OSPF 路 由 直接 被 转发 到 上 行 或 下 行 设 
备 ， 而 不 会 根据 静态 路 由 被 引流 到 防火 墙 上 。 

因此 如 果 希 望 通过 静态 路 由 引流 , 就 必须 在 核心 交换 机 上 配置 VRF 功能 , 将 一 台 交 
换 机 虚拟 成 连接 上 行 的 交换 机 ( 根 交 换 机 Public〉 和 连接 下 行 的 交换 机 (虚拟 交换 机 
VRF)， 具 体 如 图 9-52 所 示 。 由 于 虚拟 出 的 两 个 交换 机 完全 隔离 开 来 ， 所 以 流量 就 会 根 
据 静 态 路 由 被 送 到 防火 墙 上 。 

为 了 便于 理解 , 我 们 可 以 将 图 9-52 所 示 的 防火 墙 双 机 旁 挂 部 署 组 网 转换 成 图 9-53 所 示 
的 双 机 直路 部 署 组 网 。 大 家 可 以 看 到 图 9-53 是 一 个 经 典 的 “防火 墙 业务 接口 工作 在 三 层 ， 
连接 交换 机 ”组 网 。 大 家 都 知道 在 这 个 组 网 中 ， 我 们 需要 在 防火 墙 的 业务 接口 上 配置 
VRRP 备份 组 (VRRP 备份 组 1 和 备份 组 2)。 

而 为 了 实现 流量 的 转发 ， 我 们 需要 在 交换 机 的 VRF 和 Public 上 配置 静态 路 由 ， 下 
一 跳 分 别 为 VRRP 备份 组 1 和 备份 组 2 的 虚拟 地 址 。 由 于 流量 的 转发 不 仅 需 要 去 时 的 路 
由 ， 还 需要 回程 的 路 由 ， 所 以 我 们 也 需要 在 防火 墙 上 配置 两 条 回程 的 静态 路 由 ， 下 一 跳 
分 别 为 VRF 的 VRRP 备份 组 3 的 虚拟 地 址 和 Public 的 VRRP 备份 组 4 的 虚拟 地 址 。 这 
样 我 们 可 以 看 到 ， 实 际 上 两 台 防 火 墙 与 两 台 交 换 机 的 VRF 及 Public 之 间 是 通过 VRRP 
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备份 组 的 虚拟 地 址 进行 通信 的 。 





GE1/0/7 
10.10.0.1/24 


GE1/0/7 
10.10.0.2/24 











10.1.0.1/24 10.1.0.2/24 
GELUOLL_GELQL GEIO1 GE1/0/1 


FW1 Bm FW2 






---- 和 流量 
一 一 > 静态 路 由 


图 9-51 通过 VRRP 与 静态 路 由 的 方式 实现 双 机 热 备 旁 挂 
人 







GE1/0/7 


1 
GE1/0/7 | 
| 10.10.0.2/24 


10.10.0.1/24 


GE1/0/1 b 
10.1.0.1/24 
0 








GE1/0/0 Switch2 GE1/0/0 

10.0.0.1/24 10.0.0.2/24 
----> 流量 
一 一 > 静态 路 由 


图 9-52 通过 静态 路 由 与 VRF 结合 的 方式 将 流量 引导 到 防火 墙 上 
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Switch1 





VRRP 备份 组 4 ‘GE1/0/1 GE10/1 “用 
10.1.0.6/24 -LA | 1 


VRRP 备份 组 2 亲人 


FWI lis 
GE5107 Eau 


GE1/0/0|— 
T1106.0.0.2/24| 备 


GE1/0/3 


Switchl VLAN2 


图 9-53” 双 机 旁 挂 部 署 转换 成 经 典 的 双 机 连接 交换 机 的 组 网 


两 台 防 火 墙 上 的 VRRP 与 静态 路 由 配置 如 表 9-12 所 示 。 
表 9-12 通过 VRRP 与 静态 路 由 方式 实现 双 机 热 备 的 配置 〈 主 备 备份 ) 









interface GigabitEthemet interface GigabitEthernet 
1/0/0 1/0/0 
在 下 行 接口 GE1/0/0 上 配 | ip address 10.0.0.1 ip address 10.0.0.2 
置 VRRP 备份 组 1 255.255.255.0 255.255.255.0 

VIP vrid 1 virtual-ip Vrrp vrid 1 virtual-ip 
10.0.0.3 active 10.0.0.3 standby 


interface GigabitEthernet interface GigabitEthernet 
1/0/1 1/0/1 

在 上 行 接口 GE1/0/1 上 配 | ip address 10.1.0.1 ip address 10.1.0.2 

置 VRRP 备份 组 2 255.255.255.0 255.255.255.0 
VIrp vrid 2 virtual-ip Vrrp vrid 2 virtual-ip 
10.1.0.3 active 10.1.0.3 standby 

i 人 ip route-static 0.0.0.0 ip route-static 0.0.0.0 


0.0.0.0 10.1. 0.6 0.0.0.0 10. 1.0.6 





组 4 的 地 址 
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配置 下 行 方向 的 静态 路 
由 ， 下 一 跳 为 VRRP 备份 
组 3 的 地 址 






ip route-static 192.168.0.0 
255.255. 0.0 10.0.0.6 


ip route-static 192.168.0.0 
255.255. 0.0 10.0.0.6 





i hrp interface hrp interface 
eh 口 和 启用 双 机 | GigabitEthemet 1/0/7 GigabitEthemet 1/0/7 
hrp enable hrp enable 





9.6.2 ”通过 OSPF 与 策略 路 由 的 方式 实现 双 机 热 备 旁 挂 


如 图 9-54 所 示 ， 如 果 希 望 通过 策略 路 由 方式 将 经 过 核心 交换 机 的 流量 引导 到 防火 
墙 ， 则 需要 在 核心 交换 机 上 配置 策略 路 由 ， 重 定向 的 下 一 跳 地 址 (redirect ip-nexthop) 
为 防火 墙 接口 的 地 址 。 一 般 核心 交换 机 与 上 行路 由 器 和 下 行 汇聚 交换 机 之 间 运 行 OSPF， 
而 由 于 策略 路 由 的 优先 级 高 于 所 有 路 由 协议 ， 所 以 流量 到 达 核 心 交 换 机 后 会 根据 策略 路 
由 接 被 引流 到 防火 墙 上 ， 而 不 会 根据 OSPF 路 由 直接 被 转发 到 上 行 或 下 行 设备 。 


GE1/0/7 | | GE1/07 
10.10.0.1/24 itchl! 上 10.1002/24 
GEIOI ~ GEI/O/3 te | 10.4.0.1/24 1050124| ， GEIo3 GEWOl 
二 10.1.0.1/24 10.1.02/24 ~ .GEl/OA 10.3.0.2/24 10.3.0.1/24 
pwi 了 ， 国生 -= 一 - 17153224 革 全国- 一---------=- 

et < 一 一 一 GEUVOT 
GEI/J02 时 


10.00.1/24 10.002/24 ;|GEIMOO 由 
1 |172.16.1.1/24 172.162.1/24 























图 9-54 通过 OSPF 与 策略 路 由 的 方式 实现 双 机 热 备 旁 挂 
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核心 交换 机 的 流量 被 策略 路 由 引导 到 防火 墙 进行 检测 后 ， 还 需要 返回 给 核心 交换 机 。 这 
时 就 需要 在 防火 墙 与 核心 交换 机 之 间 运 行 OSPF 协议 ， 在 防火 墙 上 通过 查找 OSPF 路 由 将 流 
量 返回 给 交换 机 。 但 是 由 于 防火 墙 es 所 以 在 防火 墙 上 查找 


路 由 表 时 会 看 到 两 条 等 价 的 OSPF 路 由 ， 即 来 自 
交换 机 的 流量 有 可 能 通过 来 的 接口 返回 给 交换 
机 。 如 果 流 量 的 出 入 接口 是 同一 接口 ， 那 么 防火 
墙 就 无 法 对 流量 进行 全 面 的 安全 检测 和 控制 了 。 

为 了 解决 此 问题 ， 我 们 就 需要 在 核心 交换 
机 和 防火 墙 上 分 别 配 置 两 个 OSPF 进程 ， 然 后 













OSPF200 4 
1 | GE1/0/4 


10.4.0.1/24 ! 1 | 10.5.0.1/24 


在 防火 墙 上 将 这 两 个 OSPF 进程 相互 引入 。 这 Switchl Switch2 
样 当 交换 机 的 流量 被 策略 路 由 引导 到 防火 墙 GEUo3 Er 
后 ， 在 防火 墙 上 查 路 由 表 时 只 会 发 现 一 条 来 自 “2 ospr200 1 ey 
不 同 进程 的 OSPF 路 由 ， 即 来 自 交 换 机 的 流量 10.1.0.1124 ;| GEUON1 


一 定 会 通过 另外 的 接口 返回 给 交换 机 。 

在 这 里 读者 可 能 会 有 疑问 ， 如 果 配 置 了 两 
个 OSPF 进程 不 相互 引入 会 怎样 呢 ? 答案 是 如 
果 不 相 互 引 入 的 话 ， 则 内 外 网 之 间 路 由 不 可 
达 ， 即 内 网 的 报 文 送 到 汇聚 交换 机 上 或 外 网 的 
报 文 送 到 出 口 路 由 器 上 时 ， 不 知道 该 如 何 进行 
下 一 步 转发 。 

为 了 便于 理解 , 我 们 可 以 将 图 9-54 所 示 的 
防火 墙 双 机 旁 挂 部 署 组 网 转换 成 图 9-55 所 示 
的 双 机 直路 部 署 组 网 。 大 家 可 以 看 到 图 9-55 是 




















bp GE1/0/7 ,| 10.3.0.1/24 


10.100:1/24 


GE1/0/0 
10.0.0.1/24 


GE1/0/2 
10.0.0.2/24 





10.10.0.2/24 、 、 4 GE1/0/0 


10.2.0.1/24 
GE1/0/2 


OSPF100 


GE1/0/0 
172.16.1.1/24 


一 个 经 典 的 “防火 墙 业务 接口 工作 在 三 层 ， 连 接 
路 由 器 ”组 网 。 唯 一 的 区 别 在 于 需要 在 防火 墙 上 vy 
配置 两 个 OSPF 进程 并 且 相 互 引入 , 而 在 交换 机 策略 路 由 
上 配置 OSPF 的 同时 需要 配置 策略 路 由 。 ----> 实际 流量 

两 台 防 火 墙 上 的 OSPF 与 双 机 热 备 配置 如 图 9-55 ” 双 机 旁 挂 部 署 转换 成 经 典 的 
表 9-13 所 示 。 双 机 连接 路 由 器 的 组 网 


表 9-13 


通过 OSPF 与 策略 路 由 方式 实现 双 机 热 备 的 配置 (负载 分 担 ) 







ospf 100 











ospf 100 





import-route ospf 200 import-route ospf 200 
配置 OSPF100, 并 引入 OSPF200 | area0000 oO. 0 
network 10.0.0.0 0.0.0.255 network 10.2.0.0 0.0.0.255 
ospf 200 ospf 200 






配置 OSPF200, 并 引入 OSPF100 area 0.0.0.0 






ps De “ed Standby 组 同时 hrp track active hrp track active 
hrp track standby hrp track standby 


import-route ospf 100 


network 10.1.0.0 0.0.0.255 
interface GigabitEthernet 1/0/0 







import-route ospf 100 
area 0.0.0.0 
network 10.3.0.0 0.0.0.255 


interface GigabitEthernet 1/0/0 
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配置 Active 组 和 Standby 组 同时 


interface GigabitEthernet 1/0/1 | 
hrp track active 
监控 GE1/0/1 hirp tiack standby hrp track standby 


配置 会 话 快 速 备份 hrp mirror session enable 


A 执 hrp interface GigabitEthernet 1/0/7 | hm interface GigabitEthernet 1/0/7 


9.7 双 机 热 备 与 其 他 特性 结合 使 用 





interface GigabitEthernet 1/0/1 
hrp track active 









防火 墙 的 大 部 分 特性 在 双 机 热 备 组 网 下 的 配置 与 单机 组 网 相同 。 目 前 只 有 NAT 和 
IPSec 在 与 双 机 热 备 结合 使 用 时 有 一 些 特殊 之 处 ， 下 面 我 们 就 来 一 起 学 习 一 下 。 


9.7.1 ” 双 机 热 备 与 NAT Server 结合 使 用 


如 图 9-56 所 示 ， 两 台 防 火 墙 FW1 和 FW2 形成 双 机 热 备 的 主 备 备份 状态 。 正 常情 况 
下 ，FW1 处 理 业务 流量 ，FW2 处 于 闲置 备份 状态 。 













ip route-static 1.1.10.10 32 1.1.1.1 


广播 ARP 报 文 GEO/0/1 


请 求 11.1.1 的 MAC 地 址 ，| 1.1.1.100/24 





GE1/0/1 GE1/0/1 

1.1.1.2/24 1.1.1.3/24 
0000-00d8-9a01 :7 /, Ny 0000-0011-4901 
状态 : Active ~ 状态 : Standby 


i 


nat server global 1.1.10.10 
inside 10.1.1.10 


nat Server global 1.1.10.10 
inside 10.1.1.10 


4 


服务 器 
10.1.1.10/24 ; ---- 和 ARP 请 求 报 文 


一 一 > ARP 应 答 报 文 


9-56 NAT Server 地 址 与 VRRP 地 址 不 在 同一 网 段 
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FW1 上 配置 了 NAT Server 将 内 网 服务 器 的 地 址 10.1.1.10 转换 成 外 网 用 户 可 访问 的 公 网 
地 址 1.1.10.10。FW1 上 的 NAT Server 配置 会 备份 到 FW2 上 。 由 于 NAT Server 地 址 1.1.10.10 
与 VRRP 备份 组 地 址 1.1.1.1 不 在 同一 网 段 ， 所 以 为 了 保证 路 由 可 达 ， 外 网 的 路 由 器 Router 
上 会 配置 目的 地 址 为 NAT Server 地 址 1.1.10.10， 下 一 跳 为 VRRP 备份 组 地 址 1.1.1.1 的 路 由 。 

当 外 网 用 户 访问 内 网 服务 器 的 报 文 到 达 Router 时 ， 由 于 在 路 由 表 中 查 到 报 文 的 下 一 
跳 为 VRRP 备份 组 地 址 1.1.1.1， 所 以 路 由 器 会 广播 ARP 报 文 ， 请 求 VRRP 备份 组 地 址 
1.1.1.1 对 应 的 虚拟 MAC 地 址 。 这 时 只 有 VRRP 备份 组 状态 为 Active 的 防火 墙 FW1 才 
会 将 虚拟 MAC 地 址 0000-5e00-0101 回应 给 Router。Router 使 用 此 虚拟 MAC 地 址 作为 
目的 MAC 地 址 封装 报 文 , 然后 将 其 发 送 至 交换 机 。 交 换 机 根据 MAC 表 记 录 的 虚拟 MAC 
地 址 与 端口 Eth0/0/1 的 关系 ， 将 外 网 用 户 的 报 文通 过 端口 Eth0/0/1 转发 给 FW1。 

如 图 9-57 所 示 , 如 果 我 们 将 防火 墙 上 配置 的 NAT Server 地 址 修改 成 1.1.1.10, 与 VRRP 
备份 组 地 址 1.1.1.1 在 同一 网 段 ， 那 么 当 外 网 用 户 访问 内 网 服务 器 的 报 文 到 达 Router 时 ， 
Router 会 直接 广播 ARP 报 文 请 求 NAT Server 地 址 1.1.10.10 对 应 的 MAC 地 址 。 这 时 由 于 两 
台 防 火 墙 上 都 配置 了 NAT Server， 所 以 两 台 防 火 墙 都 会 将 自身 接口 的 MAC 地 址 回应 给 
Router。 这 样 Router 就 会 时 而 以 FW1 的 接口 MAC 地 址 来 封装 报 文 ， 将 报 文 送 到 FW1; 时 
而 以 FW2 的 接口 MAC 地 址 来 封装 报 文 ， 将 报 文 送 到 FW2， 从 而 影响 业务 的 正常 运行 。 


SF 
mY Router 









GEO/O/1 
1 | 1.1.1.100/24 


GE1/0/1 
1.1.1.2/24 LLL3/24 


0000-00d8-9a01 cy ; NS 0000-0011-4901 


状态 : Active 
' FW] 起” 
nat server global 1.1.1.10 up OO nat server global 1.1.1.10 
inside101110 NW inside 10.1.1.10 
Vo 
---- 和 ARP 请 求 报 文 
一 一 > ARP 应 答 报 文 


图 9-57 NAT Server 地 址 与 VRRP 地 址 不 在 同一 网 段 
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在 这 种 情况 下 , 我 们 就 需要 在 防火 墙 上 配置 NAT Server 时 与 VRRP 备份 组 绑 定 。 如 
9-58 所 示 ， 配 置 完成 后 ， 只 有 VRRP 备份 组 状态 为 Active 的 防火 墙 FW1 才 会 应 答 
Ronuter 的 ARP 请 求 ， 并 且 应 答 报 文中 携带 的 MAC 地 址 为 VRRP 备份 组 的 虚拟 MAC 地 


址 0000-5e00-0101。 这 样 外 网 用 户 访问 内 网 服务 器 的 报 文 将 只 会 被 送 到 主 用 防火 墙 
FW1 上 。 








GEO/O/1 
1 | 1.1.1.100/24 





GE1/0/1 1 时 GE1/0/1 
UT f/f a 1.1.1.3/24 
0000-00d8-9a01 :7 7 


nat server global 1.1.1.10 
inside 10.1.1.10 vrrp 1 


nat Server global 1.1.1.10 
inside 10.1.1.10 vrrp 1 


~ 


eeendoasiodaoen Ry 


---- > ARP 请 求 报 文 
一 一 > ARP 应 答 报 文 


9-58 NAT Server 与 VRRP 绑 定 


如 图 9-59 所 示 ， 在 负载 分 担 场景 下 ， 两 台 防 火 墙 互 为 主 备 ， 在 FW1 上 VRRP 备份 
组 1 的 状态 为 Active, 在 FW2 上 VRRP 备份 组 2 的 状态 为 Active。 所 以 为 了 使 两 台 防 火 
墙 都 能 转发 流量 ,我 们 需要 将 NAT Serverl 与 VRRP 备份 组 1 绑 定 ,NAT Server2 与 VRRP 
备份 组 2 绑 定 。 这 样 外 网 用 户 访问 内 网 服务 器 1 的 报 文 都 会 送 到 FWI1 转发 , 外 网 用 户 访 
问 内 网 服务 器 2 的 报 文 都 会 送 到 FW2 转发 。 
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在 USG6000 系列 防火 墙 中 , 系统 会 自动 将 处 于 同一 地 址 网 段 的 NAT Server 与 VRID 
最 小 的 VRRP 备份 组 绑 定 ， 无 需 客户 进行 配置 。 












GEO/0/1 


1.1.1.100/24 广播 ARP 报 广 


! 请 求 1.1.1.11 的 MAC 地 址 








SI 从 
GE1/0/1 ”VRRP 备份 组 1、 GE1/0/1 
1.1.1.3/24 了 AS- 1.1.1.4/24 
0000-00d8-9a01 、 ” ”0000-0011-4901 
VRRP1 状态 : Active 。 _/ 和 MN\、 VRRP1 状态 : Standby 
VRRP2 状态 : Standby 。 _》 所 AN VRRP2 状态 : Active 
二 | rw 加 


nat Server 1 global 1.1.1.10 
inside 10.1.1.10 vrrp 1 

nat Server 2 global 1.1.1.11 
inside 10.1.1.11 vrrp 2 


nat server 1 global 1.1.1.10 
inside 10.1.1.10 vrrp 1 

nat server 2 global 1.1.1.11 
inside 10.1.1.11 vrrp 2 


服务 器 1 


站 服务 器 2 
10.1.1.1024 


10.1.1.11/24 
---- 和 ARP 请 求 报 文 
一 一 > ARP 应 答 报 文 
图 9-59 ”负载 分 担 场景 下 NAT Server 与 VRRP 绑 定 


9.7.2” 双 机 热 备 与 源 NAT 特性 结合 使 用 


源 NAT 与 NAT Server 的 情况 类 似 。 如 图 9-60 所 示 ， 当 内 网 用 户 访 问 外 网 的 报 文 到 
达 FW 后 ， 报 文 的 源 地 址 会 被 转换 成 NAT 地 址 池 中 的 地 址 1.1.1.5。 如 果 NAT 地 址 池 中 
的 地 址 与 VRRP 备份 组 1 的 地 址 1.1.1.1 在 同一 网 段 , 那 么 外 网 返回 的 回程 报 文 到 达 Router 
后 ，Router 会 广播 ARP 报 文 请 求 NAT 地 址 池 中 地 址 1.1.1.5 对 应 的 MAC 地 址 。 这 时 如 
果 没 有 配置 NAT 地 址 池 与 VRRP 绑 定 ,那么 两 台 FW 都 会 以 接口 MAC 地 址 回应 此 ARP 
报 文 ， 造 成 MAC 地 址 冲突 ， 从 而 影响 业务 的 正常 运行 。 
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SA 
yy Router 





广播 ARP 报 文 
请 求 11.1.5 的 MAC 地址， 


GEO/0/1 
1.1.1.100/24 









GE1/0/1 
1.1.1.2/24 


GE1/0/1 
1.1.1.3/24 
RW 0000-0011-4901 
| 状态 : Standby 


人 


内 网 用 户 
10.1.1.10/24 声 ---- 和 ARP 请 求 报 文 


一 一 > ARP 应 答 报 文 


图 9-60 NAT 地址 池 与 VRRP 不 绑 定 


所 以 当 NAT 地 址 池 中 的 地 址 与 防火 墙 出 接口 的 VRRP 备份 组 地 址 在 同一 网 段 时 ， 
我 们 需要 配置 NAT 地 址 池 与 VRRP 绑 定 〈 在 NAT 地 址 池 视 图 下 执行 命令 vrrp 
Virtual-router-id)。 如 图 9-61 所 示 ， 配 置 完 成 后 ， 只 有 VRRP 备份 组 状态 为 Active 的 防 
火 墙 EW1 才 会 以 VRRP 备份 组 的 虚 MAC 地 址 回应 ARP 报 文 。 这 样 内 网 用 户 访问 外 网 
的 回程 报 文 就 只 会 送 到 VRRP 备份 组 状态 为 Active 的 防火 墙 FW1 上 转发 。 

如 图 9-62 所 示 ， 在 负载 分 担 场景 下 ， 区 域 1 的 内 网 用 户 将 网 关 设 置 为 VRRP 备 
份 组 3 的 地 址 ， 区 域 2 的 内 网 用 户 将 网 关 设 置 为 VRRP 备份 组 4 的 地 址 。 这 样 区 域 1 
访问 外 网 的 报 文 会 送 到 FW1 上 ,然后 报 文 的 源 地 址 会 转换 成 NAT 地 址 池 1 中 的 地 址 ; 
区 域 2 访问 外 网 的 报 文 会 送 到 FW2 上 , 然后 报 文 的 源 地 址 会 转换 成 NAT 地 址 池 2 中 
的 地 址 。 

如 果 VRRP 备份 组 1 和 2 的 地 址 与 NAT 地 址 池 1 和 2 的 地 址 都 在 同一 网 段 ， 那 么 
当 区 域 1 (或 2) 的 内 网 用 户 访问 外 网 的 回程 报 文 到 达 Router 后 ，Router 会 请 求 NAT 地 
址 池 1 (或 2) 中 地 址 对 应 的 MAC 地 址 。 
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广播 ARP 报 文 ;| GEO/0/1 
请 求 1.1.1.5 的 MAC 地址 :| 1.1.1.100/24 


GE1/0/1 
1.1.1.2/24 


1.1.1.3/24 
一 一 
0000-00d8-9a01 z / 





NAT 地 址 池 1.1.5~1.1.1.10 
与 VRRP 备份 组 1 绑 定 


NAT 地 址 池 1.1.1.5 一 1.1.1.10 
与 VRRP 备份 组 1 绑 定 


SS 


内 网 用 户 
10.1.1.10/24 每 --- 姑 ARP 请 求 报 文 
一 一 > ARP 应 答 报 文 


图 9-61 NAT 地 址 池 与 VRRP 绑 定 


这 时 两 台 防 火 墙 都 会 将 自身 上 行 接口 的 MAC 地 址 回应 给 Router， 从 而 造成 MAC 
地 址 冲突 ， 影 响 业 务 的 正常 运行 。 

所 以 在 这 种 情况 下 ， 我 们 就 需要 将 NAT 地 址 1 与 VRRP 备份 组 1 绑 定 ，NAT 地 址 
2 与 VRRP 备份 组 2 绑 定 ， 如 图 9-62 所 示 。 这 时 当 Router 请 求 NAT 地 址 池 1 (或 2) 中 
地 址 对 应 的 MAC 地 址 时 ， 只 有 FW1 (或 FW2) 会 以 VRRP 备份 组 1 (或 2) 的 虚拟 
MAC 地 址 回应 给 Router。 这 样 区 域 1 用 户 访问 外 网 的 回程 报 文 就 只 会 被 送 到 FW1 上 ， 
而 区 域 2 用 户 访问 外 网 的 回程 报 文 就 只 会 被 送 到 FW2 上 。 

在 USG6000 系列 防火 墙 中 , 系统 会 自动 将 处 于 同一 地 址 网 段 的 NAT 地 址 池 与 VRID 
最 小 的 VRRP 备份 组 绑 定 ， 无 需 客户 进行 配置 。 

另外 ， 在 负载 分 担 的 双 机 热 备 场景 下 ， 如 果 两 台 防 火 墙 共同 使 用 一 个 NAT 地 址 池 
进行 源 NAT 地 址 转换 , 那么 在 NAPT 模式 下 有 可 能 出 现 两 台 防 火 墙 分 配 的 公 网 端口 冲 
突 的 情况 ， 而 在 NAT No-PAT 模式 下 有 可 能 出 现 两 台 防 火 墙 分 配 的 公 网 IP 地 址 冲突 的 
情况 。 
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Router 
广播 ARP 报 文 


请 求 1.1.1.15 
的 MAC 地 址 


EthO/O/1 EthO/0/2 


GE1/0/1 YRRP 备份 组 1 GE1/0/1 


! GEO/0/l MAC 地 址 


11.1.1.1.15/24 





1.1.1.3/24 2 1.1.1.4/24 
0000-00d8-9a01 0000-0011-4901 


VRRP1 状态 : Active 


VRRP1 状态 : Standby 
VRRP2 状态 : Standby 


殷 NW VRRP2 状态 : Active 


Re 与 VRRP 备份 组 2 绑 定 


设置 默认 网 关 为 和 =。 设置 默认 网 关 为 
10.1.1.1/24 所 10.1.1.2/24 
---- 演 ARP 请 求 报 文 
一 一 > ARP 应 答 报 文 


图 9-62 ”负载 分 担 场景 下 NAT 地 址 池 与 VRRP 绑 定 


为 了 避免 这 种 可 能 存在 的 冲突 ， 需 要 在 两 台 防 火 墙 上 分 别 配置 各 自 可 使 用 的 NAT 
资源 (包括 公 网 IP 地 址 和 公 网 端口 号 )。 其 配置 方法 是 在 配置 主 用 设备 上 执行 hrp nat 
resource primary-group 命令 ， 而 配置 备用 设备 上 会 自动 下 发 hrp nat resource 
secondary-group 命令 。 

配置 此 功能 后 ，NAT 地 址 池 的 资源 将 平分 成 两 端 ， 分 别 供 两 台 防 火 墙 使 用 。 
primary-group 表示 前 段 资源 组 , secondary-group 表示 后 段 资源 组 。 如 果 是 NAT No-PAT 
方式 ， 则 平分 的 是 地 址 池 中 的 公 网 IP 地 址 ， 如果 是 NAPT 方式 ， 则 平分 的 是 每 个 公 网 
卫 地 址 的 可 转换 的 公 网 端口 。 


9.7.3 主 备 备份 方式 双 机 热 备 与 IPSec 结合 使 用 


如 图 9-63 所 示 ， 两 台 防 火 墙 FEW1 和 FW2 的 业务 接口 工作 在 三 层 ， 上 下 行 连接 交换 
机 。 两 台 防 火 墙 处 于 主 备 备份 状态 ，FW1 是 主 用 设备 ，FW2 是 备用 设备 。 两 台 防 火 墙 的 
上 下 行业 务 接口 配置 了 VRRP 备份 组 。 
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FWI 
GEl103 侠 GE1/0/1 
10.3.0.3/24 Ba 1.1.1.2/24 
VRRP 备份 组 2 人 | VRRP 备份 组 1 GE1/0/3 
10.3.0.2/24 GEl02 | N111.1/24 







| 10100.124 | CEIO! > 


GE1/0/2 





bb 
GE1/0/1 
1.1.1.3/24 





Server GE1/0/3 
10.3.0.1/24 10.3.0.4/24 


图 9-63 防火 墙 上 下 行 连接 交换 机 的 主 备 备 份 组 网 与 IPSec 结合 


在 这 种 组 网 中 ， 分 支 的 FW3 将 会 以 FW1 和 FW2 的 VRRP 备份 组 1 的 地 址 为 对 端 
地 址 与 总 部 的 FW1 和 FW2 建立 一 条 IPSec 隧道 。 

正常 情况 下 , 总 部 去 往 分 支 的 流量 通过 FW1 进入 IPSec 隧道 , 而 分 支 去 往 总 部 的 流 
量 通过 IPSec 隧道 到 达 FW1。 当 FW1 的 接口 、 链 路 或 整 机 故障 时 ， 总 部 去 往 分 支 的 流量 切 
换 到 通过 FW2 进入 IPSec 隧道 ， 而 分 支 去 往 总 部 的 流量 则 会 通过 IPSec 隧道 到 达 FW2。 

主 备 切换 过 程 中 , 原 有 的 IPSec 隧道 并 不 会 被 拆除 ， 而 且 分 支 的 FW3 感知 不 到 总 部 
的 流量 切换 。 

本 组 网 的 配置 注意 事项 如 下 。 

(1) 需要 在 主 用 设备 FW1 上 像 单 机 组 网 一 样 配置 IPSec 策略 ， 并 在 接口 GE1/0/1 上 
应 用 IPSec 策略 。IPSec 的 配置 及 状态 信息 〈 主 要 是 IPSec SA 和 IKE SA) 会 从 FW1 各 
份 到 FW2 上 。 

(2) 在 FW3 上 配置 IPSec 指定 对 端 地 址 时 需要 指定 FW1 和 FW2 的 VRRP 备份 组 1 
的 地 址 ， 例 如 remote address 1.1.1.1。 

如 图 9-64 所 示 , 两 台 防 火 墙 FW1 和 FW2 的 业务 接口 工作 在 三 层 ， 上 下 行 连接 路 由 
器 。 两 台 防 火 墙 处 于 主 备 备份 状态 ,FW1 是 主 用 设备 ，FW2 是 备用 设备 。 两 台 防火 墙 上 
配置 了 由 VGMP 组 直接 监控 上 下 行业 务 接口 。 












GE1/0/1 


Bs 2 2 2 1/24 


10.3.3.1/24 sa 
Tunnell 


| iN2.2.4.1/24 
i GE1/0/2 


10.10.0.1/24 10.1.3.1/24 


-1 : PP GEUOT g 





10.10.0.2/24 

和 GE1/0/2 
.1.2.1/24 、 

10.1.2.1/2 心跳 品 


一 


GE1/0/3 Bi 
10.3.4.1/24 


图 9-64 防火 墙 上 下 行 连接 路 由 器 的 主 备 备份 组 网 与 IPSec 结合 
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在 这 种 组 网 中 ， 分 支 的 FW3 将 会 以 FW1 和 FW2 上 tunnel 接口 的 地 址 为 对 端 地 址 
与 总 部 的 FW1 和 FW2 建立 一 条 IPSec 隧道 。 

正常 情况 下 , 总 部 去 往 分 支 的 流量 通过 FW1 进入 IPSec 隧道 ， 而 分 支 去 往 总 部 的 流 
量 通过 IPSec 隧道 到 达 FW1。 当 FW1 的 接口 、 链 路 或 整 机 故障 时 ， 总 部 去 往 分 支 的 流量 切 
换 到 通过 FW2 进入 IPSec 隧道 ， 而 分 支 去 往 总 部 的 流量 则 会 通过 IPSec 隧道 到 达 FW2。 

主 备 切 换 过 程 中 ， 原 有 的 IPSec 隧道 并 不 会 被 拆除 ， 而 且 分 支 的 FW3 感知 不 到 总 部 
的 流量 切换 。 

本 组 网 的 配置 注意 事项 如 下 。 

(1) 在 FW1 和 FW2 上 都 创建 一 个 虚拟 接口 Tunnell， 并 配置 相同 的 地 址 。 

(2) 在 主 用 设备 FW1 上 像 单机 组 网 一 样 配置 了 PSec 策略 ， 并 在 Tunnell 上 应 用 IPSec 
策略 。 IPSec 的 配置 及 状态 信息 (主要 是 IPSec SA 和 IKE SA) 会 从 FW1 备份 到 FW2 上 。 

(3) 在 FW3 上 配置 IPSec 指定 对 端 地 址 时 需要 指定 FW1 和 FW2 的 Tunnell 接口 的 
地 址 ， 例 如 remote address 2.2.4.1。 


9.7.4 ”负载 分 担 方式 双 机 热 备 与 IPSec 结合 使 用 


如 图 9-65 所 示 ,， 两 台 防 火 墙 FW1 和 FW2 的 业务 接口 工作 在 三 层 ， 上 下 行 连接 交换 
机 ， 两 台 防 火 墙 处 于 负载 分 担 状态 。 


GE1/0/1 GE1/0/2 
FW1 2.2.2.1/24 10.1.3.0/24 
Active 

















10.1.2.0/24 





VRRP; ; VRRP | 备份 组 1 VRRP 






备份 组 4 备份 组 3| ”24.23 备份 组 2 
10.5.5.3 ;10.3.3.3 4 


FW2 4.4.4.2/24 
Active 


GE1/0/2 
10.1.4.0/24 


一 流量 中 主 IPSec 隧 道 ” 仿 知 备 IPSec 隧道 
图 9-65 ”防火墙 上 下 行 连接 交换 机 的 负载 分 担 组 网 与 IPSec 结合 


在 这 种 负载 分 担 组 网 中 , FW1 的 GE1/0/1 接口 上 配置 VRRP 备份 组 1 并 加 入 Active 
组 ， FW2 的 GE1/0/1 接口 上 配置 VRRP 备份 组 1 并 加 入 Standby 组 。FW1 的 GE1/0/4 接 
口上 配置 VRRP 备份 组 2 并 加 入 Standby 组 ， FW2 的 GE1/0/4 接口 上 配置 VRRP 备份 组 
2 并 加 入 Active 组 。 

在 这 种 负载 分 担 组 网 中 ， 分 支 A 的 FW3 将 会 以 VRRP 备份 组 1 的 地 址 为 对 端 地 址 
与 总 部 的 FW1 和 FW2 建立 主 、 备 IPSec 隧道 。 分 支 B 的 FW4 将 会 以 VRRP 备份 组 2 


的 地 址 为 对 端 地 址 与 总 部 的 FW2 和 FW1 建立 主 、 备 IPSec 隧道 。 

正常 情况 下 , 总 部 与 分 支 A 之 间 的 流量 将 通过 FWI1 以 及 FWI1 与 FW3 之 间 的 主 用 IPSec 
隧道 转发 ， 总 部 与 分 支 B 之 间 的 流量 将 通过 FW2 以 及 FW2 与 FW4 之 间 的 主 用 IPSec 隧道 
转发 。 当 FW1 的 接口 、 链 路 或 整 机 故障 时 ， 总 部 与 分 支 A 之 间 的 流量 将 切换 到 FW2 以 及 
FW2 与 FW3 之 间 的 备用 IPSec 隧道 转发 。 当 FW2 的 接口 、 链 路 或 整 机 故障 时 ， 总 部 与 分 
支 B 之 间 的 流量 将 切换 到 FW1 以 及 FWI1 与 FW4 之 间 的 备用 IPSec 隧道 转发 。 

本 组 网 的 配置 注意 事项 如 下 。 

(1) 在 FW1 上 为 分 支 A (FW3) 的 IPSec 隧道 配置 IPSec 策略 policy1， 为 分 支 B 
(FW4) 的 IPSec 隧道 配置 IPSec 策略 policy2。policyl 和 policy2 的 配置 都 会 从 FW1 备 
份 到 FW2 上 。 

(2) 在 FWI1 的 GE1/0/1 接口 上 应 用 IPSec 策略 policyl 并 指定 active 参数 ， 使 FWI1 
与 FW3 之 间 建 立 主 用 IPSec 隧道 ; 在 FW2 的 GE1/0/1 接口 上 应 用 IPSec 策略 policyl 并 
指定 standby 参数 ， 使 FW2 与 FW3 之 间 建 立 备 用 IPSec 隧道 。 

在 FW2 的 GE1/0/4 接口 上 应 用 IPSec 策略 policy2 并 指定 active 参数 ， 使 FW2 与 
FW4 之 间 建 立 主 用 IPSec 隧道 ， 在 FW1 的 GE1/0/4 接口 上 应 用 IPSec 策略 policy2 并 指 
定 standby 参数 ， 使 FW1 与 FW4 之 间 建 立 备 用 IPSec 隧道 。 

(3) 在 FW3 上 配置 IPSec 指定 对 端 地 址 时 需要 指定 FW1 和 FW2 的 VRRP 备份 组 1 
的 地 址 ， 例 如 remote address 2.2.2.3。FW3 上 的 IPSec 策略 参数 需要 与 policyl 一 致 。 

在 FW4 上 配置 IPSec 指定 对 端 地 址 时 需要 指定 FW1 和 FW2 的 VRRP 备份 组 2 的 地 
址 ， 例 如 remote address 4.4.4.3。FW4 上 的 IPSec 策略 参数 需要 与 policy2 一 致 。 

如 图 9-66 所 示 , 两 台 防 火 墙 EW1 和 FW2 的 业务 接口 工作 在 三 层 ， 上 下 行 连接 路 由 
器 ， 两 台 防 火 墙 处 于 负载 分 担 状态 。 










上 分支 ^ 
10.1.3.0/24 
分 支 B 
10.1.4.0/24 
FW4 
一 一 > 流量 


2.2.5.1 rar 主 PSec 隧道 


Active 了 备 IPSec 隧道 


SEs 


图 9-66 本 类 二 二 下 行 估 玫 中 丰 强 的 负 吉 分 狂 上 网 与 IPBue 项 全 


在 这 种 负载 分 担 组 网 中 ， 我 们 需要 在 总 部 的 FW1 和 FW2 上 分 别 创建 一 个 Tunnell 
接口 ， 且 两 个 Tunnell 接口 IP 地 址 相同 。 分 支 A 的 FW3 将 会 以 Tunnell 地 址 作为 隧道 


10.1.2.1/24 
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对 端 地 址 与 总 部 的 FEW1 和 FW2 建立 主 、 备 IPSec 隧道 。 同 样 ， 我 们 需要 在 总 部 的 FEW1 
和 FW2 上 分 别 创建 一 个 Tunnel2 接口 , 且 两 个 Tunnel2 接口 IP 地 址 相同 。 分 支 B 的 FW4 
将 会 以 Tunnel2 地 址 作为 隧道 对 端 地 址 与 总 部 的 FW2 和 FW1 建立 主 、 备 IPSec 隧道 。 

正常 情况 下 ， 总 部 与 分 支 A 之 间 的 流量 将 通过 FW1 以 及 FW1 与 FW3 之 间 的 主 用 
IPSec 隧道 转发 ， 总 部 与 分 支 B 之 间 的 流量 将 通过 FW2 以 及 FW2 与 FW4 之 间 的 主 用 
IPSec 隧道 转发 。 当 FW1 的 接口 、 链 路 或 整 机 故障 时 ， 总 部 与 分 支 A 之 间 的 流量 将 切换 
到 FW2 以 及 FW2 与 FW3 之 间 的 备用 IPSec 隧道 转发 。 当 FW2 的 接口 、 链 路 或 整 机 故 
障 时 , 总 部 与 分 支 B 之 间 的 流量 将 切换 到 FWI1 以 及 FWI1 与 FW4 之 间 的 备用 IPSec 隧道 
转发 。 

本 组 网 的 配置 注意 事项 如 下 。 

(1) 在 FW1 上 为 分 支 A (FW3) 的 IPSec 隧道 配置 IPSec 策略 policy1， 为 分 支 B 
(FW4) 的 IPSec 隧道 配置 IPSec 策略 policy2。policyl 和 policy2 的 配置 都 会 从 FW1 备 
份 到 FW2 上 。 

(2) 在 FW1 的 tunnell 接口 上 应 用 IPSec 策略 policyl 并 指定 active 参数 ， 使 FWI1 
与 FW3 之 间 建 立 主 用 IPSec 隧道 ; 在 FW2 的 tunnell 接口 上 应 用 IPSec 策略 policyl 并 
指定 standby 参数 ， 使 FW2 与 FW3 之 间 建 立 备 用 IPSec 隧道 。 

在 FW2 的 tunnel2 接口 上 应 用 IPSec 策略 policy2 并 指定 active 参数 ,使 FW2 与 FW4 
之 间 建 立 主 用 了 PSec 隧 道 ;在 FW1 的 tunnel2 接 口上 应 用 IPSec 策 略 policy2 并 指定 standby 
参数 ， 使 FW1 与 FW4 之 间 建 立 备 用 IPSec 隧道 。 

(3) 在 FW3 上 配置 IPSec 指定 对 端 地 址 时 需要 指定 tunnell 接口 的 地 址 ， 例 如 
remote address 2.2.2.3。FW3 上 的 IPSec 策略 参数 需要 与 policyl 一 致 。 

在 FW4 上 配置 IPSec 指定 对 端 地 址 时 需要 指定 tunnel2 接口 的 地 址 ， 例 如 remote 
address 4.4.4.3。FW4 上 的 IPSec 策略 参数 需要 与 policy2 一 致 。 

(4) 由 于 两 台 防 火 墙 处 于 负载 分 担 状态 , 因此 流量 到 达 Routerl 或 Router2 后 将 会 根 
据 HASH 算法 转发 到 FW1 或 FW2 上 ,从 而 不 能 达到 预想 的 需求 : 分 支 A 与 总 部 之 间 的 
流量 通过 FW1 转发 ， 分 支 B 与 总 部 之 间 的 流量 通过 FW2 转发 。 

为 此 我 们 需要 在 FW1 上 配置 路 由 策略 , 使 来 自分 支 A 的 去 和 回 的 流量 通过 FWI1 时 
路 由 开销 减少 10， 来 自分 支 B 的 去 和 回 的 流量 通过 FW1 时 路 由 开销 增加 10。 在 FW2 
配置 路 由 策略 ， 使 来 自分 支 A 的 去 和 回 的 流量 通过 FW2 时 路 由 开销 增加 10， 来 自分 支 
B 的 去 和 回 的 流量 通过 FW2 时 路 由 开销 减少 10。 这 样 分 支 A 与 总 部 之 间 的 流量 就 会 优 
先 通过 FW1 转发 ， 而 分 支 B 与 总 部 之 间 的 流量 就 会 优先 通过 FW2 转发 。 


9.8 第 三 代 双 机 热 备 登 上 历史 舞台 


在 本 章 的 前 几 节 中 ， 强 叔 为 大 家 介绍 了 双 机 热 备 的 基本 概念 、 实 现 原理 、 配 置 指导 
以 及 与 其 他 特性 结合 使 用 。 其 实 双 机 热 备 功能 从 诞生 之 初 到 现在 ， 也 是 经 历 过 几 次 重大 
变革 的 。 

。 最 早 的 第 一 代 双 机 热 备 应 用 于 华为 早期 的 防火 墙 ， 目 前 已 经 比较 少见 了 。 
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。 之 前 介绍 的 双 机 热 备 实际 上 是 第 二 代 的 双 机 热 备 ， 主 要 应 用 于 USG2000/5000/ 
6000 系列 防火 墙 以 及 USG9000 系列 防火 墙 的 V100R003 版 本 ， 也 是 目前 应 用 最 
广泛 的 双 机 热 备 版 本 。 
。 最 新 的 第 三 代 双 机 热 备 其 实 也 已 经 登 上 历史 舞台 了 ， 目 前 主要 应 用 于 USG9000 
系列 防火 墙 的 V200R001 和 V300R001 版 本 。 
自古 一 代 新 人 换 旧 人 ， 强 叔 相 信 在 不 远 的 将 来 ， 第 三 代 双 机 热 备 也 必 将 全 面 取代 目 
前 应 用 最 广泛 的 第 二 代 双 机 热 备 ， 成 为 历史 的 主角 。 

其 实 第 三 代 双 机 热 备 和 第 二 代 还 是 比较 相似 的 ， 只 是 在 第 二 代 基 础 上 进行 了 改良 。 
所 以 下 面 强 叔 将 从 第 三 代 与 第 二 代 双 机 热 备 的 区 别 入 手 ， 来 为 大 家 介绍 第 三 代 双 机 热 备 
功能 。 


9.8.1 第 三 代 VGMP 概述 


在 第 三 代 双 机 热 备 中 ， 每 台 防 火 墙 上 只 有 一 个 VGMP 组 。VGMP 组 有 4 种 状态 如 下 。 

。 Initialize: 双 机 热 备 功能 未 启用 时 VGMP 组 的 状态 。 

。 Load Balance: 当 防 火 墙 本 端的 VGMP 组 与 对 端的 VGMP 组 优先 级 相等 时 ， 两 
端的 VGMP 组 都 处 于 Load Balance 状态 。 此 状态 是 第 三 代 双 机 热 备 的 新 增 状态 ， 
专门 适用 于 负载 分 担 组 网 。 Load Balance 状态 的 出 现 可 以 使 防火 墙 不 再 需要 通过 
启用 两 个 VGMP 组 的 方式 来 实现 负载 分 担 组 网 ， 因 此 第 三 代 双 机 热 备 中 将 
VGMP 组 由 两 个 精简 成 一 个 。 这 样 既 简化 了 配置 ， 又 便于 理解 。 

。 Active: 当 本 端的 VGMP 组 优先 级 高 于 对 端 时 ， 本 端的 VGMP 组 处 于 Active 状态 。 

。 Standby: 当 本 端的 VGMP 组 优先 级 低 于 对 端 时 ， 本 端的 VGMP 组 处 于 Standby 

由 上 面 可 以 看 到 ， 第 三 代 双 机 热 备 减少 了 Active To Standby，Standby To Active 这 样 
的 中 间 状 态 ， 使 Active 与 Standby 之 间 的 状态 切换 更 加 直接 ， 从 而 提升 了 双 机 热 备 的 主 
备 状 态 切 换 速度 。 

第 三 代 双 机 热 备 目前 主要 应 用 于 USG9000 系列 防火 墙 ， 所 以 在 计算 VGMP 组 优先 
级 时 ， 我 们 需要 考虑 防火 墙 的 接口 板 和 业务 板 的 个 数 问题 。 其 具体 计算 公式 如 下 。 

VGMP 组 优先 级 =4S000+ 接 口 板 个 数 x 每 块 接口 板 的 优先 级 + 业务 板 个 数 x 每 块 业 务 
板 的 优先 级 | 

。 每 块 接口 板 (LPU) 的 优先 级 =1 000 x 接口 板 上 插 卡 个 数 

。 每 块 业务 板 (SPU) 的 优先 级 =2 x 业务 板 上 CPU 个 数 

下 面 举 个 例子 来 说 明 ，USG9000 上 有 两 块 接口 板 ， 每 块 接口 板 上 有 两 个 插 卡 ， 有 一 
块 业务 板 ,， 业务 板 上 有 两 颗 CPU。 所 以 这 台 防 火 墙 的 VGMP 组 优先 级 =45 000+2x1 000x 
2+1x2x2=49 004。 

由 于 双 机 热 备 要 求 两 台 防 火 墙 的 硬件 配置 完全 相同 ， 即 接口 板 和 插 卡 数量 相同 、 业 
务 板 和 业务 板 上 CPU 数量 相同 ， 所 以 正常 情况 下 两 台 防 火 墙 的 VGMP 组 优先 级 是 相 
同 的 。 

另外 与 第 二 代 双 机 热 备 相同 的 是 ， 每 当 VGMP 组 监控 的 一 个 接口 故障 时 ，VGMP 
组 优先 级 降低 2。 
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9.8.2 ”第 三 代 VGMP 缺 省 状态 及 配置 


如 图 9-67 所 示 ， 双 机 热 备 状 态 成 功 建立 后 ， 两 台 防 火 墙 的 VGMP 组 优先 级 相等 ， 
并 且 状 态 都 为 Load Balance。 这 时 防火 墙 的 主 备 状态 是 由 管理 员 的 配置 决定 的 。 





9-67 ”两 台 防 火 墙 的 VGMP 组 都 处 于 Load Balance 状态 


我 们 在 “9.5.1 配置 流程 ”中 介绍 了 第 三 代 双 机 热 备 的 配置 流程 。 第 三 代 双 机 热 备 
配置 流程 与 第 二 代 相 同 , 只 是 在 “配置 VGMP 直接 监控 接口 和 配置 YGMP 监控 VLAN” 
时 命令 稍 有 不 同 。 其 具体 配置 如 下 。 

。 配置 YGMP 监控 VRRP 备份 组 : 无 论 是 主 备 备 份 还 是 负载 分 担 方式 ，VRRP 的 

配置 与 第 二 代 相 同 ， 在 此 就 不 再 著述 了 。 

需要 注意 的 是 , 尽管 配置 命令 相同 , 但 第 三 代 双 机 热 备 的 VRRP 配置 命令 vrrp vrid 

中 的 active 和 standby 参数 表示 的 是 将 VRRP 备份 的 状态 设置 为 Active 或 Standby。 
。 配置 VGMP 直接 监控 接口 : 由 于 第 三 代 双 机 热 备 中 只 有 一 个 VGMP 组 , 所 以 我 

们 只 需要 在 系统 视图 下 执行 命令 hrp track interface interface-type interface- 

number 即 可 ,而 不 再 需要 指定 active 或 standby 参数 将 接口 加 入 active 或 standby 

组 了 ， 具 体 配置 如 表 9-14 所 示 。 

另外 需要 注意 的 是 在 这 种 方式 下 , 如 果 希 望 两 台 防 火 墙 形成 主 备 备份 组 网 ,我们 

还 需要 在 备用 设备 上 执行 命令 hrp standby-device。 如 果 不 执行 此 命令 ， 则 两 台 


防火 墙 会 形成 负载 分 担 组 网 。 


表 9-14 通过 VGMP 直接 监控 接口 实现 主 备 备份 方式 的 双 机 热 备 
Ee 
hrp track interface hrp track interface 
配置 VGMP 组 监控 接口 GE1/0/1 red 
hrp track interface hrp track interface 
配置 VGMP 组 监控 接口 GE1/0/3 GigabitEthemet 1/0/3 
指定 本 设备 为 备用 设备 一 |nmpstandby-device 
ye hrp interface GigabitEthernet hrp interface GigabitEthernet 
配置 心口， 并 指定 对 遇 地 址 ET 
启用 双 机 热 各 hrp enable 
。 配置 VGMP 监控 VLAN: 与 配置 VGMP 直接 监控 接口 相似 , 在 第 三 代 双 机 热 备 
中 ， 我 们 只 需要 在 系统 视图 下 执行 命令 hrp track vlan vilan-id 即 可 ， 而 不 再 需要 
指定 active 或 standby 参数 将 VLAN 加 入 Active 或 Standby 组 了 ， 有 具体 配置 如 
表 9-15 所 示 。 
另外 ， 如 果 希 望 两 台 防 火 墙 形成 主 备 备 份 组 网 ， 我 们 也 需要 在 备用 设备 上 执行 命令 
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hrp standby-device。 如 果 不 执行 此 命令 ， 则 两 台 防 火 墙 形成 负载 分 担 组 网 。 
表 a VGMP 后 村 VLAN 荣 现 二 押 条 谋 方 入 的 尖 机 热 和 


配置 VGMP 组 临 控 VLAN2 | hrp track vlan 2 | nm track Wa 2 


指定 本 设备 为 备用 设备 一 |nrpstandby-device 


bs hrp interface GigabitEthernet 1/0/2 | hrp interface GigabitEthernet 1/0/2 
配置 心跳 口 , 并 指定 对 端 地 址 | remote 10.10.10.2 remote 10.10.10.1 


启用 双 机 热 备 hrp enable 


9.8.3 ”第 三 代 双 机 热 备 状态 形成 及 切换 过 程 


前 面 我 们 提 到 过 第 三 代 VGMP 组 的 状态 精简 使 双 机 热 备 的 状态 切换 更 加 简单 和 直 
接 。 本 节 我 们 来 学 习 下 第 三 代 双 机 热 备 状 态 形 成 以 及 切换 过 程 ， 从 中 体会 下 第 三 代 双 机 
热 备 的 VGMP 状态 切换 变化 和 报 文 交 互 变化 。 

如 图 9-68 所 示 , 两 台 防 火 墙 的 VGMP 组 启用 后 都 会 短暂 的 处 于 Standby 状态 , 并 向 
对 端 发 送 VGMP 报 文 ， 相 互 告知 自己 的 优先 级 和 状态 。 








图 9-68 两 台 防 火 墙 启用 VGMP 组 


如 图 9-69 所 示 ， 两 台 防 火 墙 的 VGMP 组 收 到 对 端的 VGMP 报 文 后 ， 会 与 对 端 比较 
优先 级 。 它 们 都 会 发 现 本 端 与 对 端 优 先 级 相等 ， 因 此 均 将 自身 状态 切换 成 Load Balance。 
这 样 两 台 防 火 墙 就 形成 了 负载 分 担 状态 。 





图 9-69 ”两 台 防 火 墙 形成 负载 分 担 状态 


如 图 9-70 所 示 ， 如 果 管 理 员 在 配置 双 机 热 备 时 配置 的 是 主 备 备份 方式 〈 通 过 配置 
VRRP 备份 组 状态 或 hrp standby-device)， 则 FW1 会 从 FW2 定期 发 送 的 VGMP 报 文中 
收 到 FW2 成 为 备用 设备 的 消息 。 

这 时 FW1 将 成 为 主 用 设备 ， 并 引导 上 下 行业 务 流 量 通过 本 设备 转发 。 这 样 两 台 防 
火 墙 形成 了 主 备 备份 状态 。 
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图 9-70 通过 配置 使 两 台 防 火 墙 形成 主 备 备份 状态 


如 图 9-71 所 示 ， 当 FW1 的 一 个 业务 接口 故障 时 ， 本 端 VGMP 组 的 优先 级 会 降低 到 
49002 〈 一 个 接口 故障 ， 优 先 级 降低 2)。FW1 的 VGMP 组 会 与 对 端的 VGMP 组 比较 优 
先 级 ， 比 较 后 发 现 本 端的 优先 级 49002 低 于 对 端的 优先 级 49004， 因 此 将 本 端的 VGMP 
组 状态 切换 成 Standby。FW1 的 VGMP 组 状态 切换 后 ， 会 立即 向 对 端的 VGMP 组 发 送 
一 个 VGMP 报 文 ， 通 知 本 端 VGMP 组 状态 和 优先 级 的 变化 。 





图 9-71 主 用 设备 接口 故障 ， 主 备 状态 切换 


FW2 的 VGMP 组 收 到 FW1 发 送 的 VGMP 报 文 后 ， 会 与 对 端 比较 优先 级 ， 发 现 本 
端的 优先 级 49004 高 于 对 端的 优先 级 49002, 因此 将 本 端的 VGMP 组 状态 切换 成 Active。 
这 样 FW2 切换 成 主 用 设备 ,而 FW1 切换 成 备用 设备 。FW2 将 会 引导 上 下 行业 务 流量 通 
过 本 设备 转发 。 

如 图 9-72 所 示 ， 当 原 主 用 设备 FW1 的 业务 接口 故障 恢复 后 ， 本 端 VGMP 组 的 优先 
级 升 高 到 49004。FW1 的 VGMP 组 会 与 对 端的 VGMP 组 比较 优先 级 ， 比 较 后 发 现 本 端 
优先 级 与 对 端 相等 。 这 时 如 果 配 置 了 抢占 功能 , 则 启动 抢占 延 时 。 抢占 延 时 结束 后 , FW1 
的 VGMP 组 会 将 自身 状态 切换 成 Load Balance。 然 后 FWI1 会 立即 向 对 端 发 送 一 个 VGMP 
报 文 ， 通知 本 端 状态 和 优先 级 的 变化 。 





图 9-72 原 主 用 设备 故障 恢复 ， 重 新 抢占 成 主 用 设备 


FW2 的 VGMP 组 收 到 对 端的 VGMP 报 文 后 ， 会 与 对 端 比较 优先 级 ， 比 较 后 发 现 优 
先 级 相等 ， 因 此 将 自身 状态 切换 成 Load Balance。 
由 于 管理 员 之 前 配置 了 FW2 为 备用 设备 ， 所 以 FW1 和 FW2 在 定期 交互 VGMP 报 


400 华为 防火 墙 技术 漫谈 


文 后 ， 会 相互 确认 各 自 的 身份 ， 即 FW1 会 重新 成 为 主 用 设备 ，FW2 成 为 备用 设备 。 
9.8.4 ”第 三 代 VGMP 报 文 结构 


本 节 强 叔 将 介绍 第 三 代 双 机 热 备 的 VGMP 报 文 结构 的 变化 。 学 习 VGMP 报 文 结构 
的 变化 ， 有 助 于 我 们 理解 前 面 讲 到 的 VGMP 状态 切换 过 程 的 变化 。 

如 图 9-73 所 示 ， 在 第 三 代 双 机 热 备 中 ，VGMP 报 文 完 全 脱离 了 VRRP 报 文 ， 改 成 
直接 由 UDP 报 文 头 封装 VGMP 报 文 头 (也 称 为 HRP 扩展 头 ) 来 实现 ,这 样 VGMP(HRP) 
报 文 彻 底 成 为 了 一 种 单 播报 文 ， 能 够 跨越 三 层 设备 〈 如 路 由 器 ) 传输 。 


UDP 
报 文 头 


HRP 
扩展 头 


HRP 载 
HRP Data 荷 数据 


9-73 ”第 三 代 双 机 热 备 VGMP 报 文 结构 





在 第 三 代 双 机 热 备 中 ， 我 们 只 需要 根据 HRP (VGMP) 扩展 头 的 “Type” 字 段 即 可 
定义 各 种 VGMP 报 文 和 HRP 报 文 ， 包 括 以 下 内 容 。 
。 VGMP 报 文 : VGMP 报 文 用 于 两 台 防 火 墙 交互 VGMP 组 信息 ， 协 商 主 备 状态 。 
。 HRP 心跳 报 文 : HRP 心跳 报 文 用 于 探测 对 端 设备 是 否 处 于 工作 状态 。 
。 HRP 数据 报 文 : HRP 数据 报 文 用 于 主 备 设备 之 间 的 数据 备份 ， 包 括 命令 行 配置 
的 备份 和 各 种 状态 信息 的 备份 。 
。 HRP 链 路 探测 报 文 ， HRP 心跳 链 路 探测 报 文 用 于 检测 对 端 设 备 的 心跳 口 能 和 否 正 
常 接收 本 端 设备 的 报 文 ， 以 确定 是 否 有 心跳 口 可 以 使 用 。 
。 一 致 性 检查 报 文 : 一 致 性 检查 报 文 用 于 检测 双 机 热 备 状态 下 的 两 台 防 火 墙 的 双 机 
热 备 和 策略 配置 是 否 一 致 。 
其 中 ，HRP 数据 报 文 、HRP 链 路 探测 报 文 以 及 一 致 性 检查 报 文 在 第 二 代 和 第 三 代 双 
机 热 备 中 的 实现 原理 基本 相同 。 
在 第 二 与 第 三 代 双 机 热 备 体系 中 ，VGMP 报 文 实现 不 同 的 地 方 主要 有 以 下 两 点 。 
(1) VGMP 报 文 发 送 方向 和 时 间 
在 第 二 代 双 机 热 备 中 ， 两 台 防 火 墙 的 VGMP 组 不 会 定时 相互 发 送 VGMP 报 文 ， 只 会 
由 状态 为 Active 的 VGMP 组 主动 发 送 〈 状 态 为 Standby 的 VGMP 组 会 响应 )， 而 且 只 是 有 
事件 触发 〈 例 如 启用 或 关闭 双 机 热 备 功能 ， 优 先 级 增加 或 减少 ， 抢 占 超 时 ) 时 才 会 发 送 。 
在 第 三 代 双 机 热 备 中 ， 两 台 设 备 的 VGMP 组 会 定时 (每 隔 1 秒 ) 相互 发 送 VGMP 
报 文 ， 以 了 解 并 记录 对 端的 状态 和 优先 级 信息 。 这 样 当 本 端的 VGMP 组 优先 级 变化 时 ， 
可 以 在 第 一 时 间 与 对 端 比 较 优 先 级 并 进行 状态 切换 ， 而 不 必 像 第 二 代 双 机 热 备 一 样 先 切 
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换 到 一 个 中 间 状 态 ， 然 后 再 等 待 对 端 VGMP 组 的 响应 。 
另外 ， 当 本 端 VGMP 组 出 现 以 下 情况 时 ， 也 会 主动 向 对 端 发 送 VGMP 报 文 。 


双 机 热 备 功能 启用 或 关闭 (hrp enable 或 undo hrp enable) 


。 优先 级 增加 或 减少 


抢占 超时 
链 路 探测 报 文 超时 


(2) VGMP 报 文 内 容 
在 第 二 代 双 机 热 备 中 ，VGMP 报 文 的 内 容 只 有 本 端的 状态 和 优先 级 信息 。 而 在 第 三 
代 双 机 热 备 中 ，VGMP 报 文 承载 了 更 多 的 内 容 ， 有 具体 如 下 。 


本 端 VGMP 组 的 状态 

本 端 VGMP 组 的 优先 级 

本 端 设备 是 否 处 于 忙碌 状态 : 如 果 本 端 设备 正 处 于 忙碌 状态 时 , 例如 设备 正在 加 
载 补丁 ， 心 跳 报 文 可 能 发 送 不 出 去 。 这 时 本 端 设备 会 通过 VGMP 报 文 请 求 对 端 
不 要 因为 接收 不 到 心跳 报 文 而 进行 状态 切换 。 

本 端 设备 是 否 发 送 免 费 ARP 报 文 : 如 果 本 端 设备 配置 了 VRRP 备份 组 且 状 态 为 
Active 时 ， 本 端 设备 需要 向 上 下 行 设备 发 送 免 费 ARP 报 文 ， 从 而 引导 流量 通过 
本 设备 转发 。 这 时 本 端 设备 会 通过 VGMP 报 文通 知 对 端 : 本 端 设备 需要 发 送 免 
费 ARP 报 文 ， 即 本 端 设 备 需要 成 为 主 用 设备 。 

管理 员 配置 的 设备 角色 : 如 果 管 理 员 在 本 端 设备 上 执行 了 hrp standby-device 命 
令 ， 则 本 端 设 备 会 通过 VGMP 报 文 向 对 端 通知 : 本 端 需要 成 为 备用 设备 。 

是 否 进行 了 手动 切换 : 如 果 管 理 员 在 本 端 设备 上 执行 了 hrp switch {active | 
standby} 命 令 ， 则 本 端 设备 会 强制 切换 成 主 用 /备用 设备 。 这 时 本 端 设备 会 通过 
VGMP 报 文 向 对 端 通知 : 本 端 设备 进行 了 状态 切换 ， 成 为 了 主 用 /备用 设备 。 


“本 端 设备 是 否 需 要 发 送 免费 ARP 报 文 ”“ 管 理 员 配置 的 设备 角色 ”“ 是 否 进行 了 手 
动 切换 ”保证 了 两 台 防 火 墙 的 VGMP 组 都 处 于 Load Balance 状态 时 , 管理 员 可 以 通过 配 
置 来 决定 防火 墙 的 主 备 状 态 。 

HRP 心跳 报 文 实现 不 同 的 地 方 主 要 有 以 下 三 点 。 


9.8.5 


在 第 二 代 双 机 热 备 中 ,只 有 状态 为 Active 的 VGMP 组 向 对 端 发 送 HRP 心跳 报 文 ; 
在 第 三 代 双 机 热 备 中 ， 两 台 防 火 墙 的 VGMP 组 会 相互 发 送 HRP 心跳 报 文 。 

在 第 二 代 双 机 热 备 中 ， 如 果 本 端 VGMP 组 3 个 周期 收 不 到 心跳 报 文 则 认为 对 端 
VGMP 组 故障 ; 而 在 第 三 代 双 机 热 备 中 则 是 5 个 周期 。 

在 第 二 代 双 机 热 备 中 ，HRP 心跳 报 文中 包含 VGMP 组 的 状态 和 优先 级 信息 ; 而 
在 第 三 代 双 机 热 备 中 则 没有 这 些 信 息 。 


第 三 代 VGMP 状态 机 


如 图 9-74 所 示 , 第 三 代 双 机 热 备 状态 机 对 原 有 状态 机 进行 了 简化 和 修改 , 主要 有 两 


减少 了 Active To Standby，Standby To Active 这 样 的 中 间 状 态 ， 而 是 直接 进行 状 
态 间 的 转换 ， 不 保留 中 间 状 态 ， 使 状态 切换 更 快速 。 
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。 增加 了 Load Balance 状态 。 其 主要 是 因为 VGMP 组 由 原来 的 2 个 减少 为 1 个 ， 
我 们 需要 一 个 状态 来 实现 双 机 热 备 的 负载 分 担 。 所 以 正常 情况 下 , 两 台 防 火 墙 的 
VGMP 组 都 处 于 Load Balance 状态 ， 且 优先 级 相等 。 这 时 如 果 我 们 想 实现 主 备 
备份 组 网 ， 就 需要 管理 员 通 过 手工 配置 指定 防火 墙 的 主 备 状态 。 
第 三 代 双 机 热 备 的 VGMP 状态 机 的 各 切换 过 程 解释 如 下 。 
全 启用 双 机 热 备 功能 后 (hrp enable)， 
VGMP 组 先进 入 Standby 状态 。 
@ 如 果 本 端 设备 处 于 正常 工作 状态 , 本 
端 VGMP 组 发 现 优 先 级 与 对 端 相 等 (对 端 
VGMP 组 状态 也 为 Standby), 则 本 端 VGMP 
组 将 状态 切换 成 Load Balance。 如 果 本 端 设 
备 故障 恢复 后 ， 本 端 VGMP 组 发 现 优先 级 
与 对 端 相等 (对 端 VGMP 组 状态 为 Active)， 
且 配 置 了 抢占 功能 ， 则 抢占 延 时 后 ， 本 端 
VGMP 组 将 状态 切换 成 Load Balance。 i. 
@ 对 端 设备 故障 后 , 本 端 VGMP 组 发 OM 
现 本 端 优先 级 高 于 对 端 ， 将 本 端 状 态 切换 成 Active。 
全 本 端 设 备 故障 后 ， 本 端 VGMP 组 发 现 本 端 优先 级 低 于 对 端 ， 将 本 端 状态 切换 成 
Standby。 
@ 对 端 设备 故障 恢复 后 (对 端 配 置 了 抢占 ，VGMP 状态 切换 成 Load Balance)， 本 
端 VGMP 组 发 现 优先 级 与 对 端 相等 ， 将 自身 状态 也 切换 成 Load Balance。 备 份 通道 故障 
恢复 (能 够 重新 收 到 对 端的 心跳 报 文 ) 后 ， 本 端 VGMP 组 发 现 优先 级 与 对 端 相等 且 对 端 
状态 为 Active， 将 自身 状态 也 切换 成 Load Balance。 
@ 木 端 设备 故障 或 对 端 设备 故障 恢复 后 , 本 端 VGMP 组 发 现 本 端 优先 级 低 于 对 端 ， 
将 本 端 状态 切换 成 Standby。 
全 对 端 设备 故障 后 ， 本 端 VGMP 组 发 现 本 端 优先 级 高 于 对 端 ， 将 本 端 状态 切换 成 
Active; 备份 通道 故障 (不 能 收 到 对 端的 心跳 报 文 ) 后 , 本 端 VGMP 组 将 状态 切换 成 Active。 
全 、@、@ 关 闭 双 机 热 备 功能 (undo hrp enable )。 


9.8.6 总结 









最 后 ， 我 们 再 总 结 下 第 二 代 与 第 三 代 双 机 热 备 的 区 别 点 ， 具 体 如 表 9-16 所 示 。 


表 9-16 
is 














VGMP 组 个 数 每 台 防 火 墙 只 有 一 个 VGMP 组 


每 台 防 火 墙 有 两 个 VGMP 组 : Active 组 
和 Standby 组 
有 5 种 状态 : Initialize 、Active、Standby、 
Active To Standby、Standby To Active 
缺 省 情况 下 ，Active 组 状态 为 Active， 
Standby 组 状态 为 Standby 







有 4 种 状态 : Load Balance、Active、 
Standby、Initialize 
缺 省 情况 下 ，VGMP 组 状态 为 Load 


Balance 


VGMP 状态 
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( 续 表 ) 























正常 情况 下 , USG2000/5000/6000 系列 防 
火 墙 的 Active 组 优先 级 为 65001, Standby 
组 优先 级 为 65000 

USG9000 系列 防火 墙 的 Master (Active) 
组 的 缺 省 优先 级 =45001+1000X〈 业 务 板 
个 数 十 接口 板 个 数 ); Slave (Standby) 
组 的 缺 省 优先 级 =45000+1000X (业务 板 
个 数 十 接口 板 个 数 ) 


正常 情况 下 ，USG9000 系列 防火 墙 的 
VGMP 组 优先 级 =45000+ 接 口 板 个 数 x 
1000x 接 口 板 上 插 卡 个 数 + 业务 板 个 数 x2x 
业务 板 上 CPU 个 数 


VGMP 优先 级 


正常 情况 下 , 两 台 防 火 墙 的 VGMP 组 状 

态 为 Load Balance， 两 台 防 火 墙 处 于 负 

载 分 担 状态 。 这 时 需要 由 管理 员 来 通过 

配置 指定 设备 的 主 备 状态 

当 设备 〈 接 口 或 整 机 ) 发 生 故障 时 ， 

VGMP 组 状态 决定 设备 的 主 备 状 态 

。 两 台 防火 墙 的 VGMP 组 会 定期 相互 
发 送 VGMP 报 文 

。 VGMP 组 在 事件 触发 时 也 会 向 对 端 
发 送 VGMP 报 文 


VGMP 组 状态 决定 设备 主 备 状态 。 VGMP 
组 状态 为 Active 的 设备 为 主 用 设备 ， 

VGMP 组 状态 为 Standby 的 设备 为 备用 
设备 


设备 主 备 状态 





VGMP 报 文 只 由 状态 为 Active 的 
VGMP 组 向 状态 为 Standby 的 对 端 

 VGMP 组 发 送 

。 VGMP 报 文 只 有 事件 触发 (例如 优先 


。 VGMP 报 文 内 容 包 括 : 
VGMP 报 文 3 2 mn VGMP 组 状态 
级 变化 ) 时 才 发 送 ， 不 会 定时 发 送 sm VGMP 组 优先 级 
级 信息 m 是 和 否 需 要 发 送 免费 ARP 报 文 


m 管理 员 配 置 的 设备 角色 
本 端 VGMP 组 5 个 周期 收 不 到 心跳 报 文 
则 认为 对 端 VGMP 组 故障 
HRP 心跳 报 文 不 包含 VGMP 组 状态 和 
优先 级 信息 


本 端 VGMP 组 3 个 周期 收 不 到 心跳 报 文 
则 认为 对 端 VGMP 组 故障 

HRP 心跳 报 文 包含 VGMP 组 状态 和 优先 级 
信息 
VGMP 和 HRP 等 报 文 都 是 由 VRRP 报 文 


i <apggb 二 户 | VGMP 和 HRP 等 报 文 改 由 UDP 报 文 头 
i 人 种 组 播报 文 ， 不 能 跨越 三 层 | 直接 封装 ， 与 VRRP 报 文 彻底 脱离 关系 


另外 ， 可 以 在 VRRP 报 文 头 上 再 封装 一 | 县 站 革 开放， 于 秆 文莉 于 
层 UDP 报 文 头 ， 将 报 文 改装 成 单 播报 文 


HRP 心跳 报 文 





强 叔 提问 


1. 防火 墙 双 机 热 备 包括 几 种 方式 ? 

2. 防火 墙 双 机 热 备 主要 有 几 种 协议 ? 

3. 第 二 代 双 机 热 备 中 防火 墙 有 几 个 VGMP 组 ? 正常 情况 下 ，VGMP 组 的 状态 是 什 
么 ? 优先 级 是 多 少 ? 
双 机 热 备 中 共有 几 种 VGMP 和 HRP 报 文 ? 
双 机 热 备 的 VGMP 组 有 几 种 监控 接口 状态 的 手段 ? 
双 机 热 备 有 几 种 HRP 备份 方式 ? 
第 二 代 双 机 热 备 的 HRP 和 VGMP 报 文 是 否 能 够 跨越 网 段 传输 ? 该 如 何 部 署 ? 
双 机 热 备 与 源 NAT 或 NAT Server 结合 使 用 时 需要 注意 什么 ? 
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10.1 出 口 选 路 总 述 


在 “1.1 什么 是 防火 墙 ” 中 我 们 提 到 ， 防 火 墙 主要 部 署 在 网 络 边界 起 到 隔离 的 作 
用 。 虽然 隔离 了 内 外 网 , 但 防火 墙 也 承担 起 内 网 与 外 网 互联 的 作用 ， 内 网 和 外 网 交互 
的 流量 都 要 经 过 防火 墙 来 转发 。 在 实际 场景 中 ,企业 出 于 带宽 和 可 靠 性 的 要 求 , 会 向 
多 个 ISP 租用 多 条 Internet 链 路 带宽 资源 ， 这 样 处 于 出 口 位 置 的 防火 墙 就 有 多 个 出 口 
链 路 连接 到 Internet， 如 何 为 用 户 流量 选择 合适 的 出 口 链 路 将 是 企业 网 络 管理 员 需 要 
考虑 的 问题 。 
、 为 此 ， 强 叔 也 专门 总 结 了 防火 墙 作为 企业 出 口 网 关 时 面 对 多 出 口 环 境 的 几 种 常用 的 
选 路 方式 。 下 面 强 叔 就 给 这 几 种 选 路 方式 来 一 个 初步 的 介绍 ， 先 让 大 家 有 一 个 基本 的 
了 解 。 


10.1.1 就近 选 路 


就 近 选 路 是 由 缺 省 路 由 与 明细 路 由 配合 完成 的 选 路 方式 ， 这 种 方式 比较 简单 ， 也 是 最 
常用 的 。 如 图 10-1 所 示 通 过 缺 省 路 由 可 以 保证 企业 用 户 数据 
流量 都 能 够 匹配 到 路 由 转发 ， 而 明细 路 由 则 让 用 户 访问 某 ISP 
的 流量 从 连接 该 ISP 的 链 路 进行 转发 ， 避 免 流量 从 另外 的 ISP 
链 路 迁 回 绕道 ， 这 就 是 所 谓 的 就 近 选 路 。 然 而 Intemet 上 的 众 
多 服务 ,不 可 能 一 条 一 条 地 去 配置 明细 路 由 ， 有 没有 一 种 简单 
的 方法 批量 配置 明细 路 由 呢 ? 这 个 时 候 ISP 路 由 功能 就 有 它 
的 用 武之 地 了 。ISP 路 由 功能 其 实 是 把 各 ISP 的 知名 网 段 都 集 
成 在 防火 墙 的 内 部 , 通过 设置 指定 的 出 接口 和 下 一 跳 批量 下 发 
静态 路 由 ， 这 样 可 以 极 大 地 减少 明细 路 由 的 配置 工作 量 。 

明细 路 由 + 缺 省 路 由 的 选 路 方式 ， 配 置 简单 ， 方 便 实用 ， 
在 一 般 的 企业 网 络 中 都 可 以 应 用 。 但 是 企业 如 果 需 要 对 某 些 
特殊 用 户 〈 如 管理 者 )、 某 些 特殊 应 用 〈(P2P 下 载 ) 的 流量 进 和 a 
行 区 别 转 发 ， 这 种 选 路 方式 就 无 法 适用 。 下 面 介绍 第 二 种 选 --- 交 缺 省 路 由 
路 方式 : 策略 路 由 选 路 。 图 10-1 就 近 选 路 


10.1.2 ”策略 路 由 选 路 


所 谓 策略 路 由 ， 顾 名 思 义 ， 即 是 根据 一 定 的 策略 进行 报 文 转发 ， 因 此 策略 路 由 是 
一 种 比 普通 静态 路 由 、 动 态 路 由 更 灵活 的 转发 机 制 。 路 由 设备 转发 报 文 时 ， 先 根据 配 
置 的 规则 对 报 文 进行 过 滤 ， 匹 配 成 功 的 报 文 会 按照 既定 的 转发 策略 进行 转发 。 这 种 规 
则 可 以 是 基于 源 卫 地 址 、 目 的 一 地 址 ， 也 可 以 是 基于 用 户 ， 还 可 以 是 基于 某 种 特殊 
的 应 用 。 

如 图 10-2 所 示 ， 企 业内 网 有 大 流量 的 P2P 业务 ,为 了 保证 特殊 用 户 (管理 者 〉 的 带 
宽 需 求 ， 可 以 通过 策略 路 由 制定 规则 让 管理 者 等 特殊 用 户 的 流量 从 链 路 带宽 稳定 的 ISP1 
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链 路 转发 ， 而 P2P 等 大 流量 业务 则 指定 从 上 下 行 链 
路 带宽 严重 不 对 等 的 ISP2 链 路 转发 (如 上 行 带宽 为 
50Mbit/s， 下 行 带 宽 为 500Mbit/s)。 

策略 路 由 选 路 让 企业 网 络 管理 员 拥 有 了 更 灵活 AS 
的 流量 控制 手段 ， 在 事先 了 解 出 口 链 路 带宽 优 劣 的 。 愉 
条 件 下 ， 管 理 员 可 以 让 重要 用 户 和 关键 业务 从 链 入 者 、 
路 带宽 稳定 的 链 路 转发 ， 但 策略 路 由 需要 管理 员 
人 为 的 去 干预 流量 的 选 路 ， 并 且 策 略 路 由 也 不 能 
为 链 路 分 配 具体 的 带宽 , 如 规定 链 路 的 最 大 带宽 为 
500Mbits。 拥 有 “智能 ”判断 能 力 的 智能 选 路 却 不 
存在 这 样 的 问题 ， 它 可 以 通过 系统 自行 判断 来 为 内 ， 
网 用 户 流量 选择 最 优 的 出 口 链 路 ， 可 以 针对 某 条 链 。 管 到 者 上 
路 的 带宽 特点 设置 固定 的 出 口 带宽 ， 达 到 智能 转发 - -> 管理 者 的 业务 流量 
流量 的 目 的 > P2P 业务 


图 10-2 策略 路 由 选 路 
10.1.3 ”智能 选 路 


智能 选 路 是 指 到 达 目 标 网 络 有 多 条 链 路 可 选 时 ， 防 火 墙 可 以 根据 链 路 带宽 、 路 由 权 
重 或 者 自动 探测 到 的 链 路 质量 动态 地 为 内 网 用 户 流 量 选择 出 口 链 路 ， 实 现 链 路 资源 的 合 
理 利 用 。 智 能 选 路 有 三 种 模式 ， 用 户 可 以 根据 现 网 实际 需求 选择 不 同 的 模式 。 

1. 链 路 带宽 模式 

链 路 带宽 模式 在 USG9500 系列 防火 墙 和 USG6000 系列 防火 墙 的 实现 原理 有 比较 大 
的 区 别 , 在 USG9500 系列 防火 墙 上 是 按照 每 条 链 路 的 实际 物理 链 路 的 带宽 比例 分 配 用 户 
流量 ， 图 10-3 中 3 条 出 口 链 路 的 接口 分 别 为 GE、GE 和 10GE 接口 ， 那 么 流量 分 配 的 比 
例 为 1:1:10。 






| 
A P2P 业务 





GEIO0 个 GE1/0/1 和 | ioGEzoo 个 
过 载 保护 阔 值 : 90% ! | 过 载 保护 阔 值 : 90% ! | 过 载 保护 阔 值 : 90% ; 
传输 12 的 流量 ，| 传输 12 的 流量 ;| 传输 10/12 的 流量 ， 





10-3 ”USG9500 系列 防火 墙 链 路 带宽 模式 


USG6000 系列 防火 墙 是 按照 管理 员 在 各 条 出 口 链 路 上 设置 带宽 的 比例 分 配 用 户 流 
量 , 图 10-4 中 3 条 链 路 的 带宽 管理 员 分 别 设置 为 200Mbit/s、100Mbit/s 和 100Mbits， 那 
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分 配 的 用 户 流量 比例 为 2:1:1。 
















链 路 带宽 :100Mbits 
过 载 保护 闽 值 : 90%'! 
传输 25% 的 流量 | 


链 路 带宽 : lo0Mbivs 人 
过 载 保护 阔 值 : 90% ; 
传输 25% 的 流量 | 


链 路 带宽 : 200Mbivs 
过 载 保护 阔 值 : 90% ; 
传输 50% 的 流量 ， 








图 10-4 USG6000 系列 防火 墙 链 路 带宽 模式 


2. 路 由 权重 模式 
路 由 权重 模式 是 按照 管理 员 在 各 条 出 口 链 路 上 设置 的 路 由 权重 的 比例 分 配 用 户 流 
量 ， 如 图 10-5 所 示 ，3 条 链 路 分 配 的 用 户 流量 为 5:3:2。 








链 路 权重 : 5 。 个 | 。 链 路 权重 : 3 人 | 链 路 权重 : 2 人 
过 载 保护 阐 值 90% ; | 过 载 保护 阐 值 :90% ;| 过 载 保护 阔 值 : 90% | 
传输 50% 的 流量 ;| 传输 30% 的 流量 ;| 传输 20% 的 流量 | 


10-5 ”路 由 权重 模式 


3. 链 路 质量 探测 模式 

链 路 质量 探测 模式 是 根据 流量 触发 探测 每 条 链 路 的 质量 , USG9500 系列 防火 墙 对 质 
量 的 评价 目前 是 通过 时 延 来 完成 ， 时 延 越 小 ， 链 路 越 优 。USG6000 系列 防火 墙 对 质量 的 
评价 则 是 通过 丢 包 率 、 时 延 和 时 延 拌 动 三 个 参数 综合 来 评价 的 ， 管 理 员 可 以 根据 实际 需 
要 选择 其 中 的 一 个 或 多 个 参数 。 三 个 质量 参数 中 ， 丢 包 率 是 最 重要 的 参数 ， 如 果 两 条 链 
路 的 丢 包 率 、 时 延 、 时 延 拌 动 各 不 相同 ， 那 么 防火 墙 判定 丢 包 率 小 的 链 路 质量 最 优 。 

用 户 流量 将 选择 最 优 的 链 路 进行 转发 ， 让 用 户 在 访问 外 网 时 有 最 优 的 访问 体验 。 当 
然 不 同 的 访问 流量 探测 的 最 优 链 路 可 能 不 同 ， 如 图 10-6 所 示 。 
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服务 器 B 






GE1/0/0 水 GE1/0/1 术 GE1/0/2 
访问 服务 器 A 时 延 : 0.1s | 访问 服务 器 A 时 延 : 0.2s | 访问 服务 器 A 时 延 : 03s | 
访问 服务 器 B 时 延 : 0.3s | ; 访问 服务 器 B 时 延 : 0.1s | ， 访问 服务 器 B 时 延 : 0.2s | ; 
访问 服务 器 C 时 延 : 0.2s | ， 访 问 服务 器 C 时 延 : 0.3s | ， 访 问 服务 器 C 时 延 ; 0.1s | ; 





图 10-6 链 路 质量 探测 模式 


访问 服务 器 A 的 流量 从 GE1/0/0 接口 转发 时 延 最 小 , 而 访问 服务 器 B 和 服务 器 C 的 
流量 分 别 选 择 GE1/0/1 和 GE1/0/2 接口 转发 。 

智能 选 路 在 链 路 带宽 的 控制 方面 给 管理 员 更 多 的 选择 ， 同 时 智能 的 链 路 探测 给 选 路 
提供 了 新 的 方向 ， 管 理 员 不 用 人 为 判断 链 路 的 差异 ， 而 是 通过 流量 触发 探测 链 路 质量 ， 
为 每 条 用 户 流量 选择 最 优 的 链 路 转发 。 然 而 ， 智 能 选 路 的 应 用 是 建立 在 等 价 路 由 的 基础 
上 ， 有 多 少 条 链 路 连接 到 外 网 服务 ， 智 能 选 路 就 需要 相应 条 数 的 等 价 路 由 ， 否 则 智能 选 
路 是 无 法 应 用 成 功 的。 但 是 ， 现 网 中 许多 服务 在 不 同 的 ISP 内 都 设立 了 服务 器 ， 此 种 域 
名 相同 ， 但 地 址 不 同 的 服务 如 何 引 导 流 量 在 多 个 服务 器 上 负载 ? 通过 防火 墙 的 智能 选 路 
显然 是 无 法 完成 的 ， 因 为 PP 地 址 不 同 ， 等 价 路 由 就 无 从 说 起 。 所 以 我 们 需要 其 他 的 选 路 
方式 来 完成 这 种 操作 ， 一 种 通过 分 配 DNS 请 求 报 文 的 选 路 方式 一 一 透明 DNS 选 路 。 


10.1.4 透明 DNS 选 路 


当 同 一 个 服务 在 不 同 ISP 内 部 署 时 , 透明 DNS 选 路 能 够 保证 用 户 访问 的 流量 均匀 地 
分 担 到 每 个 服务 器 上 ， 如 图 10-7 所 示 。 

透明 DNS 选 路 通过 修改 用 户 DNS 请 求 报 文 的 目的 地 址 ， 让 DNS 请 求 报 文 分 担 到 
各 个 ISP 内 的 DNS 服务 器 上 ， 从 而 解析 出 各 ISP 内 Web 服务 器 对 应 的 下 地 址 ， 引 导 用 
户 流量 访问 各 自 ISP 内 的 Web 服务 器 。 

透明 DNS 选 路 有 两 种 算法 决定 用 户 DNS 请 求 报 文 的 分 配 。 

(1) 简单 轮 询 算法 。 将 DNS 请 求 报 文 依次 分 配 到 各 个 ISP 的 DNS 服务 器 上 。 

(2) 加 权 轮 询 算法 。 将 DNS 请 求 报 文 按照 一 定 权 重 依次 分 配 到 各 个 ISP 的 DNS 服 
务 器 上 。 
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和 


设置 虚拟 DNS --- 


服务 器 地 址 
图 10-7 透明 DNS 选 路 






一 一 > DNS 请 求 
一 -> 修改 后 的 DNS 请 求 
-> 上 网 流量 


管理 员 可 以 根据 链 路 带宽 、 性 能 等 多 种 因素 灵活 地 选择 不 同 的 算法 。 


10.1.5 “ 旁 挂 出 口 选 路 


前 面 介 绍 的 这 些 选 路 方式 ， 都 是 针对 防火 墙 处 于 网 络 出 口 位 置 的 选 路 。 在 实际 应 用 


中 , 防火 墙 还 存在 另外 一 种 常用 场景 一 一 
防火 墙 旁 挂 于 数据 中 心 核心 交换 机 或 企 
业 出 口 路 由 器 的 场景 , 这 种 场景 下 的 流量 
选 路 方式 比较 特别 , 也 比较 固定 , 分 为 引 
流 和 回 注 两 个 过 程 ， 如 图 10-8 所 示 。 

图 中 外 网 用 户 访问 内 网 服务 器 的 流 
量 通过 出 口 路 由 器 引流 到 防火 墙 ， 进 行 安 
全 防护 处 理 。 经 防火 墙 处 理 后 的 安全 的 流 
量 再 通过 防火 墙 回 注 到 出 口 路 由 器 ， 由 路 
由 器 转发 到 内 网 服务 器 。 这 个 过 程 中 ， 引 
流 是 在 出 口 路 由 器 上 完成 的 ， 一 般 是 通过 
策略 路 由 重 定 向 流量 到 防火 墙 ， 防 火 墙 对 
流量 的 回 注 可 通过 配置 路 由 协议 来 完成 ， 
如 静态 路 由 、OSPF 等 。 此 场景 中 ， 防 火 
墙 接收 和 发 出 的 流量 是 从 不 同 接口 完成 





外 网 用 户 


内 网 服务 器 


----> 入 流量 
一 -> 出 流量 


图 10-8 ” 旁 挂 出 口 选 路 


的 ， 这 样 可 以 更 好 地 应 用 安全 策略 ， 具 体 的 应 用 ， 我 们 将 在 策略 路 由 选 路 中 给 大 家 详细 


的 讲解 。 
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总 体 来 说 ，5 种 选 路 方式 各 有 特点 ， 应 用 场景 也 各 不 相同 ， 管 理 员 可 以 根据 网 络 实 
际 需 要 选择 合适 的 选 路 方式 。 当 然 ， 在 实际 网 络 中 ,网络 环境 复杂 ， 用 户 需 求 多 种 多 样 ， 
单一 的 选 路 方式 可 能 难以 完成 所 有 需求 ， 需 要 多 种 选 路 方式 配合 使 用 方 能 完成 复杂 的 网 
络 规划 。 接 下 来 的 章节 中 ， 我 们 将 逐一 介绍 每 种 选 路 方式 的 原理 和 应 用 。 


10.2 就近 选 路 


10.2.1 缺 省 路 由 VS 明细 路 由 


何 为 就 近 选 路 ? 顾名思义 为 选择 较 近 的 路 ， 在 多 出 口 网 络 中 指 的 是 报 文选 择 离 目标 
网 络 花 销 较 小 的 链 路 进行 转发 。 那 报 文 是 如 何 选择 花 销 较 小 的 链 路 转发 的 呢 ? 通过 缺 省 
路 由 和 明细 路 由 即 可 实现 。 下 面 ， 强 叔 通过 解答 几 个 问题 的 方式 先 来 介绍 缺 省 路 由 和 明 
细 路 由 的 一 些 基 本 概念 ， 帮 助 大 家 理解 。 

第 一 个 问题 : 什么 是 缺 省 路 由 ， 缺 省 路 由 是 属于 静态 路 由 吗 ? 

其 实 缺 省 路 由 是 一 种 特殊 的 路 由 , 可 以 通过 静态 路 由 配置 , 也 可 以 是 动态 路 由 生成 ， 
如 OSPF 和 1IS-IS。 所 以 确切 地 说 ， 缺 省 路 由 不 属于 静态 路 由 。 在 路 由 表 中 ， 缺 省 路 由 以 
目的 网 络 为 0.0.0.0、 子 网 掩 码 为 0.0.0.0 lm 下 生生 全 

[FW] display ip routing-table 
Route Flags: R - relay, D - download to fib 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Rowuiapple ae 
Destinations ; 1 Routes :2 
Destination/Mask ~ Proto Pre Cost Flags NextHop Interface 
00000 statie 60 0 RD 10.1.12 GigabitEthernet2/2/21 
siatic 60 0 RD 10.2.02 GigabitEthernet2/2/17- 


如 果 报 文 的 目的 地 址 不 能 与 任何 路 由 相 匹 配 ， 那 么 系统 将 使 用 缺 省 路 由 转发 该 报 文 。 

第 二 个 问题 : 什么 是 明细 路 由 ? 

强 叔 认为 ， 明 细 路 由 是 相对 来 说 的 ， 相 对 缺 省 路 由 ， 在 路 由 表 中 的 其 他 路 由 都 属于 
明细 路 由 ,如 10.1.0.0/16、192.168.1.0/24 相对 缺 省 路 由 都 属于 明细 路 由 。 相 对 有 10.1.0.0/16 
这 条 汇总 路 由 ，10.1.1.0/24、10.1.2.0/24、10.1.3.0/24 这 三 条 路 由 都 属于 它 的 明细 路 由 。 
明细 路 由 与 路 由 协议 类 型 无 关 , 可 以 是 静态 路 由 配置 的 , 也 可 以 是 动态 路 由 协议 生成 的 。 

第 三 个 问题 : 报 文 是 如 何 查找 路 由 表 的 ? 

可 能 大 家 都 知道 ， 报 文 查找 路 由 表 时 是 按照 最 长 匹配 原则 进行 查找 ， 什 么 意思 呢 ? 
举 个 例子 ， 路 由 表 中 有 10.1.0.0016、10.1.1.0/24 和 0.0.0.0/0 三 条 路 由 ， 当 目的 地 址 为 
10.1.1.1/30 的 报 文 查找 路 由 表 时 ， 最 终 匹 配 的 路 由 将 是 10.1.1.0/24 这 条 路 由 ， 因 为 报 文 
查找 路 由 表 时 ,， 报 文 的 目的 地 址 和 路 由 中 各 表 项 的 掩 码 进行 按 位 “逻辑 与 ” 得 到 的 地 址 
符合 路 由 表 项 中 的 网 络 地 址 则 匹配 ， 最 终 选 择 一 个 最 长 匹配 的 路 由 表 项 转发 报 文 。 如 果 
是 目的 地 址 为 192.168.1.1/30 的 报 文 查找 路 由 表 ， 则 只 能 匹配 0.0.0.0/0 这 条 缺 省 路 由 了 ， 
因为 报 文 的 目的 地 址 不 能 与 任何 明细 路 由 相 匹 配 ， 最 终 系统 将 使 用 缺 省 路 由 转发 该 报 文 。 
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从 上 面 的 问题 中 我 们 可 以 了 解 到 ， 当 路 由 表 中 有 明细 路 由 时 ， 报 文 是 先 匹配 明细 路 
由 ， 如 果 没 有 明细 路 由 再 查找 缺 省 路 由 。 

下 面 我 们 来 看 第 四 个 问题 : 多 条 缺 省 路 由 间 是 如 何 选 路 的 ? 

我 们 先 来 看 图 10-9 所 示 的 组 网 ， 在 防火 墙 上 我 们 配置 两 条 缺 省 路 由 ， 一 个 下 一 跳 指 
向 R1， 一 个 下 一 跳 指向 R2， 现 在 我 们 在 PC 上 ping 目标 网 络 上 的 两 个 服务 器 地 址 。 


RI1 










10.10.10.10/32 






GE0/0/3 





| 10.1.1.2/24 
RE GEO/0/2 
PC 10.1.2.2/24 
192.168.0.2/24 7) 和 
10.10.11.11/32 
R2 
图 10-9 缺 省 路 由 选 路 
两 条 缺 省 路 由 在 防火 墙 上 配置 如 下 。 
[FW]) ip route-static 0.0.0.0 0 10.1.1.2 
[FW] ip route-static 0.0.0.0 0 10.1.2.2 


通过 在 FW 的 GE0/0/3 接口 上 抓 包 发 现 报 文 都 是 从 GE0/0/3 接口 进行 转发 ， 如 下 所 示 。 











为 什么 出 现 这 种 情况 呢 ? 两 条 缺 省 路 由 不 进行 负载 分 担 吗 ? 事实 上 , 多 条 缺 省 路 由 在 
选 路 的 时 候 是 根据 源 卫 地 址 + 目的 全 地 址 的 HASH 算法 来 算出 报 文具 体 走 哪 条 链 路 的 ， 
这 种 算法 主要 是 看 报 文 的 源 卫 地 址 和 目的 耳 地 址 , 地 址 不 同 , 计算 出 的 结果 也 会 不 相同 。 
这 种 算法 下 ， 等 价 缺 省 路 由 之 间 转 发 报 文 的 机 会 是 均等 的 。 举 个 例子 ， 如 果 报 文 的 源 中 
地 址 相同 ， 目 的 地 址 是 相 邻 的 ， 如 10.1.1.1 和 10.1.1.2， 那 么 选 路 的 时 候 ， 将 会 各 分 担 一 条 
流 进行 转发 。 然 而 ， 由 于 网 络 中 访问 流量 的 源 和 目的 地 址 是 随机 的 ,所 以 HASH 计算 结果 
完全 不 可 控 。 这 个 时 候 虽 然 多 条 缺 省 路 由 是 等 价 路 由 ， 也 有 可 能 出 现 所 有 报 文 都 从 一 条 链 
路 转发 的 情况 。 这 个 结果 也 印证 了 上 面 举例 中 报 文 都 从 GE0/0/3 接口 转发 的 原因 。 

好 了 ， 前 面 说 的 都 是 一 些 基 础 知识 ， 现 在 让 我 们 来 看 看 缺 省 路 由 + 明细 路 由 的 就 近 
选 路 方式 是 如 何 就 近 选 路 的 。 先 看 一 个 简单 的 网 络 环境 ， 如 图 10-10 所 示 。 

当 企业 内 网 用 户 访问 外 网 服务 器 Server 时 ， 报 文 途 经 防火 墙 有 两 条 路 径 ， 正 常情 况 
下 ， 企 业 一 般 会 在 出 口 防 火 墙 上 配置 两 条 缺 省 路 由 ， 每 个 ISP 一 条 。 在 前 面 我 们 说 过 缺 
省 路 由 的 选 路 是 通过 源 IP+ 目 的 IP 的 HASH 算法 来 决定 数据 报 文 的 转发 路 径 , 这 就 有 可 
能 导致 访问 ISP2 的 Server 流量 经 过 HASH 算法 计算 后 从 图 中 的 路 径 1 进行 转发 了 ， 这 
样 从 路 径 1 到 ISP1， 再 经 过 ISP1 到 ISP2， 绕 一 大 圈 后 才能 到 达 最 终 目 的 地 ， 严 重 影 响 
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了 转发 效率 和 用 户 体 验 。 





Server 


图 10-10 多 出 口 场景 图 


那 有 什么 办 法 让 报 文 不 绕道 呢 ? 通过 配置 明细 路 由 即 可 达到 要 求 ， 前 面 我 们 也 说 
过 ， 报 文 优先 匹配 明细 路 由 ， 没 有 可 匹配 的 明细 路 由 再 去 查找 缺 省 路 由 。 就 图 10-10 的 
组 网 ， 我 们 可 以 配置 到 Server 的 明细 路 由 ， 下 一 跳 指 向 ISP2， 这 样 报 文 匹配 到 这 条 明细 
路 由 后 就 不 会 绕道 转发 了 。 从 图 10-10 中 看 ， 报 文 发 送 选 择 的 发 送 路 径 是 两 条 路 径 中 的 
最 短路 径 ， 这 就 是 我 们 所 说 的 就 近 选 路 了 。 我 们 也 可 以 通过 图 10-9 的 组 网 验证 一 下 。 我 
们 在 防火 墙 上 配置 如 下 两 条 静态 路 由 。 


[FW] ip route-static 10.10.10.10 255.255.255.255 10.1.1.2 (下 一 跳 为 Rl 地 址 ) 
[FW] ip route-static 10.10.11.11 255.255.255.255 10.1.2.2 (下 一 跳 为 R2 地 址 ) 


通过 在 防火 墙 的 GE0/0/3 接口 上 抓 包 发 现 只 有 去 往 10.10.10.10 的 报 文 ， 如 下 所 示 。 






Ee a = 


No. Time Source Destination 






Protocol Info 


这 就 证 明 ， 报 文 是 优先 查找 刚 配 置 的 两 条 明细 路 由 的 。 然 而 在 实际 网 络 环境 中 ， 
Internet 上 的 Server 是 非常 多 的 , 作为 管理 员 在 出 口 网 关 防 火 墙 上 配置 那么 多 的 明细 路 由 
是 不 现实 的 ， 有 没有 一 种 方便 快捷 的 方法 配置 明细 路 由 呢 ? 这 就 需要 ISP 路 由 功能 出 场 
了 。 那 什么 是 ISP 路 由 呢 ? 


10.2.2 ”ISP 路 由 


ISP 路 由 ， 从 名 字 来 看 有 一 个 关键 词 “ISP”， 这 其 实 就 是 这 个 功能 的 由 来 。 每 个 ISP 
都 会 有 自己 的 公 网 知名 网 段 ， 如 果 把 这 个 ISP 的 所 有 公 网 知名 网 段 都 像 上 面 说 的 一 样 配 
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置 成 明细 路 由 ， 则 去 往 这 个 ISP 的 所 有 报 文 都 不 会 绕 路 转发 了 。 如 何 把 ISP 的 公 网 知名 
网 段 变 成 明细 路 由 呢 ? 

首先 管理 员 需 要 先 收 集 ISP 内 的 所 有 公 网 网 段 (网 上 都 能 够 搜索 到 ), 然后 把 地 址 网 
段 编辑 到 后 级 为 . csv 的 文件 中 我 们 称 之 为 ISP 地 址 文件 )， 编 辑 要 求 如 图 10-11 所 示 。 


-一 一 








:村 2 i 
祝 兴 # 开 头 的 行 代表 该 行 是 注释 行 ， 而 非 实 际 数 据 。 
采光 各 村 人 不 要 攻 荐 修 光 内 容 同 再 次 学 和 到 设备 中 。 
k ‘ 
# 目 的 TP 范围 支持 单个 IP、IP/ 掩 码 和 IP 段 类 型 ， | 填写 说 明 及 要 求 


例如 : 1.1.1.1，1.1.1.0724,1.1.1.17255.255. 255.0, 1.1.1.0- 
1.1.1.255)。 


枚 HISP 选 路 


目的 IF 范围 

1. 184. 0. 0-1. 185. 255. 255 

58. 116. 0. 0-58. 119. 255. 255 
58. 128. 0. 0-58. 135. 255. 255 
58. 154. 0. 0-58. 155. 255. 255 
58. 192. 0. 0-58. 207. 255. 255 
59. 64.0. 0-59. 79. 255. 255 

110. 64.0.0-110. 65. 255. 255 
111. 114.0.0-111. 117. 255. 255 


图 10-11 编辑 ISP 地 址 文件 


ISP 地 址 文件 编辑 完成 后 ， 我 们 需要 把 它 上 传 到 防火 墙 的 指定 路 径 上 ， 比 如 cfeard 
中 。 上 传 的 方法 有 很 多 ， 有 SFTP、FTP、TFTP 等 ， 本 文中 不 再 歼 述 。 

ISP 地 址 文件 上 传 到 防火 墙 后 , 通过 设置 好 出 接口 和 下 一 跳 , 启动 ISP 路 由 功能 后 , ISP 
地 址 文件 中 的 每 个 人 P 地 址 段 都 会 转化 为 一 条 静态 路 由 ， 这 样 整 个 ISP 地 址 文件 就 变 身 为 针 
对 一 个 ISP 的 批量 静态 路 由 配置 脚本 了 ， 大 家 再 也 不 用 为 海量 静态 路 由 配置 发 悉 了 ! 

下 面 我 们 通过 一 个 实验 组 网 检验 下 ISP 路 由 选 路 的 效果 ， 组 网 如 图 10-12 所 示 。 


Server 
210.1.1.1/32 









Server 
210.1.1.2/32 
GE2/0/1 e 
ER 加 201.1.1.1/24 210.1.1.3/32 
GE2/0/2 
202.1.1.1/24 
~、 Server 
、 220.1.1.3/32 


Server 
220.1.1.2/32 
Server 


2020113 ae > 路 径 1 


图 10-12 ”ISP 路 由 组 网 图 
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在 此 组 网 中 ,ISP1 和 ISP2 内 的 地 址 网 段 我 们 分 别 编辑 在 ispa.csv 与 ispb.csv 文件 中 。 

首先 我 们 通过 SFTP、FTP、TFTP 等 方式 上 传 两 个 csv 文件 到 防火 墙 的 指定 路 径 中 。 
其 中 USG9500 系列 防火 墙 路 径 为 cfcard:/isp/，USG6000 系列 防火 墙 为 hdal:/isp/。 

完成 csv 文件 上 传 后 ， 通 过 相关 命令 设置 相应 出 接口 和 下 一 跳 ， 启 动 ISP 路 由 功能 。 
以 USG9500 系列 防火 墙 为 例 ， 配 置 命令 如 下 。 

[FW] isp set filename ispa.csv GigabitEthernet 2/0/1 next-hop 201.1.1.2 


此 外 , 我 们 还 可 以 通过 Web 配置 方式 来 配置 ISP 路 由 , 这 种 方式 更 为 简单 ， 上 传 csv 
文件 和 导入 配置 通过 一 步 就 可 以 完成 。 我 们 以 USG9500 为 例 ， 导 入 方式 如 图 10-13 所 示 。 





x 


ee A 










入 当前 CF 卡 总 空间 : 1999.615 KB 各 
文件 a 

运 届 拓 制 该 文 件 到 备用 主 皖 板 兮 
E71 





”图 10-13 通过 Web 配置 方式 启动 ISP 路 由 
ispb.csy 的 导入 方法 与 ispa.csv 一 致 , 只 是 出 接口 和 下 一 跳 改 成 GE2/0/2 和 202.1.1.2。 
导入 完成 后 ， 防 火 墙 会 生存 如 下 路 由 。 








Destination/Mask ~ Proto Pre Cost FlagsNextHop Interface 
210.1. 下 60 0 01.1.1.2 jigabitEthernet2/0/1 
2101.12/32 ISP 60 0 D 201112 GigabitEthemet2/0/1 
. D 201.1.12 igabi / 
人 P_ 60 D 202.1.12 Gigabi 
0 0 D021.12 igabi 0 


内 网 用 户 访问 属于 ISP1 的 Server 时 ， 报 文 匹配 路 由 表 后 从 GigabitEthernet2/0/1 接 
口 进 行 转发 ; 同 理 , 访问 ISP2 的 Server 时 ， 会 从 GigabitEthernet2/0/2 接口 进行 转发 。 这 
样 总 是 能 保证 从 最 短 的 路 径 转 发 到 目标 网 络 。 

从 上 面 的 路 由 表 来 看 ，ISP 路 由 与 静态 路 由 非常 相似 ， 在 路 由 表 中 ， 除 了 协议 类 型 
为 ISP 外 ， 表 中 其 他 内 容 与 静态 路 由 完全 一 样 ， 且 两 种 路 由 之 间 是 可 以 互相 覆盖 的 ， 如 
先 配置 一 条 静态 路 由 ， 然 后 再 导入 目的 地 址 和 下 一 跳 相 同 的 ISP 路 由 后 ， 路 由 表 中 此 条 
路 由 的 协议 类 型 会 从 static 变 成 ISP， 反 之 亦 然 。 但 在 实际 应 用 中 ISP 路 由 与 静态 路 由 还 
是 有 几 点 区 别 。 

(1) 静态 路 由 是 手动 一 条 一 条 配置 ， 配 置 文件 中 能 够 显示 出 来 ，ISP 路 由 只 能 通过 
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上 面 所 述 的 方式 集体 导入 ， 且 配置 文件 中 无 法 显示 出 ISP 路 由 。 

(2) 静态 路 由 可 以 逐条 删除 、 增 加 ; ISP 路 由 只 能 从 ISP 地 址 文件 中 删除 、 增 加 地 
址 网 段 ， 不 能 通过 命令 删除 或 增加 单条 ISP 路 由 。 

上 面 说 的 是 管理 员 构 建 ISP 路 由 的 过 程 ， 实 际 上 ， 防 火 墙 在 出 厂 设 置 中 已 经 内 置 了 
china-mobile.csv〈 中 国 移 动 )、china-telecom.csv 〈 中 国电 信 )、china-unicom.csv 〈 中 国联 
通 ) 和 china-educationnet.csv〈 中 国教 育 网 ) 4 个 ISP 的 csv 文件 ， 只 需要 管理 员 执行 导 
入 即 可 启动 ISP 路 由 。 

总 结 一 下 ， 就 近 选 路 方式 的 核心 其 实 就 是 三 种 路 由 PK 的 结果 ， 如 下 所 示 。 

。 缺 省 等 价 路 由 让 经 过 防火 墙 的 所 有 报 文 都 能 匹配 路 由 转发 , 但 无 法 保证 报 文 转发 

选择 最 短 链 路 (通过 源 他 地 址 + 目的 全 地址 的 HASH 算 法 来 选择 报 文 转发 出 口 )。 
。 明细 路 由 保证 访问 不 同 ISP 服务 器 的 报 文 都 从 防火 墙 连接 的 相应 ISP 的 链 路 转 
发 , 达到 就 近 访 问 效 果 , 但 是 明细 路 由 的 手工 大 批量 配置 是 困扰 企业 网 络 管理 员 
的 一 个 难题 。 

。 ISP 路 由 则 填补 了 明细 路 由 难以 手工 大 批量 配置 的 缺点 ， 分 分 钟 就 能 搞定 一 个 
ISP 所 有 地 址 网 段 的 明细 路 由 配置 。 

这 三 种 路 由 各 有 特点 , 配合 使 用 方 能 弥补 相互 之 间 的 缺陷 、 发 挥 出 每 种 路 由 的 优势 。 
配合 使 用 时 ， 明 细 路 由 和 ISP 路 由 用 来 指导 报 文 近 路 转发 ， 没 有 匹配 到 明细 路 由 的 报 文 
通过 查找 缺 省 路 由 完成 转发 。 

然而 就 近 选 路 方式 是 以 路 由 为 基础 的 选 路 方式 ， 大 家 都 知道 ， 查 找 路 由 是 通过 报 文 
目的 地 址 来 查找 的 。 那 问题 就 来 了 ， 如 果 管 理 员 希望 对 内 网 用 户 进行 区 分 ， 让 不 同 优先 
级 的 用 户 从 不 同 链 路 进行 转发 ;或 者 管理 员 想 根据 不 同 的 应 用 来 区 分 流量 的 转发 链 路 ， 
这 些 都 不 是 我 们 通过 目的 地 址 查找 路 由 能 完成 的 。 我 们 需要 更 灵活 的 选 路 机 制 ， 比 如 通 
过 报 文 的 源 瑟 地 址 、 应 用 协议 类 型 等 来 区 分 用 户 流 量 ， 再 对 不 同 的 用 户 流量 进行 区 别 转 
发 。 这 个 时 候 就 需要 我 们 的 策略 路 由 选 路 出 场 了 。 


10.3 策略 路 由 选 路 


说 到 策略 路 由 选 路 ， 强 叔 先 想到 了 策略 路 由 早期 在 中 国 最 大 的 应 用 莫 过 于 在 电信 网 通 
互联 互通 中 的 应 用 。 电信 网 通 分 家 之 后 出 现 了 中 国 特色 的 网 络 环境 , 就 是 南 电信 , 北 网 通 ( 现 
在 合并 到 联通 )。 在 网 络 只 有 单 出 口 的 条 件 下 会 出 现 电信 用 户 访问 网 通 的 服务 较 慢 ， 网 通用 
户 访问 电信 的 服务 也 较 慢 的 问题 。 此 时 ， 人 们 就 想到 了 企业 网 络 双 出 口 方案 一 一 网 络 出 口 同 
时 接 入 到 电信 和 网 通 。 双 出 口 方案 的 普及 使 得 策略 路 由 有 了 用 武之 地 ! 通过 在 企业 出 口 网 关 
设备 上 配置 策略 路 由 ， 成 功 地 实现 了 电信 流量 走 电信 出 口 ， 网 通 流量 走 网 通 出 口 。 

策略 路 由 是 如 何 实现 电信 、 网 通 流量 的 科学 分 流 呢 ? 我 们 还 是 先 从 什么 是 策略 路 由 
开始 说 起 。 


10.3.1 策略 路 由 的 概念 
所 谓 策略 路 由 , 顾名思义 ， 即 根据 一 定 的 策略 进行 报 文 转发 。 而 策略 是 人 为 制定 的 ， 
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因此 策略 路 由 是 一 种 比 传统 的 按照 目的 地 址 选 路 更 灵活 的 选 路 机 制 。 在 防火 墙 上 配置 策 
略 路 由 后 ， 防 火 墙 首先 会 根据 策略 路 由 配置 的 规则 对 接收 的 报 文 进行 过 滤 ， 匹 配 成 功 则 
按照 一 定 的 转发 策略 进行 报 文 转发 。 其 中 “配置 的 规则 ” 即 是 需要 定义 匹配 条 件 ， 一 般 
是 通过 ACL 来 定义 匹配 条 件 ， 而 “一 定 的 转发 策略 ” 则 是 需要 根据 匹配 条 件 执行 相关 的 
动作 。 由 此 可 以 推断 策略 路 由 由 以 下 两 部 分 组 成 ， 如 下 。 
。 匹配 条 件 ( 通 过 ACL 定义 ): 用 于 区 分 将 要 做 策略 路 由 的 流量 。 匹 配 条 件 包 括 : 
报 文 源 瑟 地址、 目的 让 地 址 、 协 议 类 型 、 应 用 类 型 等 ， 不 同 的 防火 墙 可 以 设置 
的 匹配 条 件 略 有 不 同 。 在 一 条 策略 路 由 规则 中 ,可 以 包含 多 个 匹配 条 件 ， 各 匹配 
条 件 之 间 是 “与 ”的 关系 ， 报 文 必 须 同 时 满足 所 有 匹配 条 件 ， 才 可 以 执行 后 续 定 
义 的 转发 动作 。 
。 动作 : 对 符合 匹配 条 件 的 流量 采取 的 动作 ， 包 括 指定 出 接口 和 下 一 跳 。 
当 有 多 条 策略 路 由 规则 时 ， 防 火 墙 会 按照 匹配 顺序 ， 先 查找 第 一 条 规则 ， 如 果 满足 
第 一 条 策略 路 由 规则 的 匹配 条 件 ， 则 按照 指定 动作 处 理 报 文 。 如 果 不 满足 第 一 条 规则 的 
匹配 条 件 ， 则 会 查找 下 一 条 策略 路 由 规则 。 如 果 所 有 的 策略 路 由 规则 的 匹配 条 件 都 无 法 
满足 ， 报 文 按照 路 由 表 进 行 转发 ， 策 略 路 由 的 匹配 是 在 报 文 查找 路 由 表 之 前 完成 ， 也 就 
是 说 策略 路 由 比 路 由 的 优先 级 高 。 策 略 路 由 规则 匹配 过 程 如 图 10-14 所 示 。 










策略 路 由 规则 1 


te hd 
' ' 


不 符合 匹配 条 件 


CT 


图 10-14 策略 路 由 规则 匹配 过 程 


此 外 ， 如 果 策 略 路 由 指定 的 出 接口 状态 为 Down 或 下 一 跳 不 可 达 ， 那 么 报 文 将 通过 
查找 路 由 表 进 行 转发 。 

说 完 策略 路 由 的 基本 原理 后 ， 现 在 我 们 回 过 头 来 看 看 策略 路 由 是 如 何 实 现 电信 流量 
从 电信 转发 ， 网 通 流量 从 网 通 转发 的 ? 
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10.3.2 ”基于 目的 IP 地 址 的 策略 路 由 
我 们 通过 一 个 组 网 环境 来 验证 这 种 策略 路 由 的 效果 ， 组 网 如 图 10-15 所 示 。 
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图 10-15 ”基于 目的 耳 地 址 的 策略 路 由 


防火 墙 作 为 企业 出 口 网 关 ， 通 过 两 条 链 路 连接 到 Internet， 其 中 经 过 R1 的 链 路 为 电 
信 的 线路 ， 经 过 R2 的 链 路 为 网 通 的 线路 。 现 在 我 们 要 让 企业 用 户 访问 10.10.11.11/32 这 
个 服务 器 从 电信 线路 转发 ， 而 10.10.10.10/32 这 个 服务 器 从 网 通 线路 转发 。 

如 果 在 防火 墙 上 配置 两 条 缺 省 路 由 , 企业 用 户 在 访问 10.10.11.11/32 和 10.10.10.10/32 
这 两 个 服务 器 时 ， 经 过 验证 发 现 都 是 经 过 R1 这 条 链 路 进行 转发 的 ， 这 个 我 们 在 上 一 节 
就 近 选 路 中 就 说 过 ， 缺 省 路 由 的 选 路 是 通过 源 IP 地 址 + 目的 人 P 地 址 的 HASH 算法 来 计 
算 报 文选 择 的 出 口 链 路 ， 无 法 控制 访问 10.10.11.11/32 的 流量 从 电信 线路 转发 ， 访 问 
10.10.10.10/32 的 流量 从 网 通 线路 转发 的 要 求 。 

下 面 我 们 在 防火 墙 上 配置 策略 路 由 ， 看 看 实验 效果 如 何 ， 配 置 如 下 (我 们 以 
USG2000/5000 系列 防火 墙 为 例 )。 

(1) 根据 报 文 目 的 地 址 设置 匹配 条 件 


[FW] acl number 3000 

[FW-acl-adv-3000] rule 5 permit ip destination 10.10.11.110 
[FW-acl-adv-3000] quit 

[FW] acl number 3001 

[FW-acl-adv-3001] rule 5 permit ip destination 10.10.10.10 0 
[FW-acl-adv-3001] quit 


(2) 配置 策略 路 由 


[FW] policy-based-route test permit node 10 

[FW-policy-based-route-test-10] if-match acl 3000 /应 用 匹配 条 件 
[FW-policy-based-route-test-10] apply ip-address next-hop 10.1.1.2 /配置 动作 ， 重 定向 至 电信 下 一 跳 
[FW-policy-based-route-test-10] quit ， 
[FW] policy-based-route test permit node 20 : 

[FW-policy-based-route-test-20] if-match acl 3001 W 应 用 匹配 条 件 
[FW-policy-based-route-test-20] appily ip-address next-hop 10.1.2.2 /配置 动作 ， 重 定向 至 网 通 下 一 跳 
[FW-policy-based-route-test-20] quit 人 


(3) 应 用 策略 路 由 


[FW] interface GigabitEthernet0/0/3 
[FW-GigabitEthernet0/0/3] ip policy-based-route test /在 入 接 Pe 
"~ [FW-GigabitEthernet0/0/3] quit 


配置 完成 后 ， 我 们 在 PC 上 ping 10.10.11.11 和 10.10.10.10 两 个 地 址 ， 能 正常 ping 
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通 。 同 时 在 防火 墙 上 碍 看 会 话 表 达 的 详细 信息 ， 显 示 如 下 。 


[FW] display firewall session table verbose 
Current total sessions: 2 
icmp VPN: public --> public 
Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:16 
Interface: GigabitEthernet0/0/1 Nexthop: 10.1.1.2 


.1.2 MAC:54-89-98-1d-74-24 
<--packets: 4 bytes: 240 -->packets: 4 bytes: 240 
192.168.0.2:54999 --> 10.10.11.11:2048 


icmp VPN: public --> public 

Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:17 

Interface: GigabitEthernet0/0/2 Nexthop: 10.1.2.2 MAC:54-89-98-ea-53-c9 

<--packets: 4 bytes: 240 -->packets: 4 bytes: 240 

192.168.0.2:63959 --> 10.10.10.10:2048 

通过 显示 信息 可 以 看 到 去 往 10.10.11.11 的 报 文 是 从 防火 墙 的 GE0/0/1 接口 转发 的 ， 
下 一 跳 为 R1 与 防火 墙 相连 的 接口 地 址 ; 而 去 往 10.10.10.10 的 报 文 是 从 防火 墙 的 GE0/0/2 
接口 转发 的 ， 下 一 跳 为 R2 与 防火 墙 相连 的 接口 地 址 ， 从 而 达到 访问 10.10.11.11/32 的 流 
量 从 电信 线路 转发 ， 而 访问 10.10.10.10/32 的 流量 从 网 通 线路 转发 的 要 求 。 

看 到 这 里 ， 可 能 大 家 会 说 ， 在 上 节 介 绍 的 就 近 访 问 也 能 达到 这 个 要 求 ， 对 ! 的 确 如 此 。 
因为 就 近 选 路 中 缺 省 路 由 + 明细 路 由 的 选 路 方式 是 根据 目的 地 址 进行 报 文 的 转发 ， 而 上 面 配 
置 的 策略 路 由 也 是 以 报 文 目的 地 址 为 条 件 制定 转发 策略 ， 所 以 能 够 实现 同样 的 需求 。 

但 实际 上 ， 传 统 的 静态 和 动态 路 由 只 能 根据 报 文 的 目的 地 址 为 用 户 提 供 比较 单一 的 路 由 
方式 ， 它 更 多 的 是 解决 网 络 报 文 的 转发 问题 ， 而 不 能 提供 更 灵活 的 服务 。 策 略 路 由 则 不 同 ， 
它 使 网 络 管理 者 不 仅 能 够 根据 目的 地 址 ， 而 且 能 够 根据 报 文 源 下 地 址 、 协 议 类 型 、 应 用 类 型 
或 者 其 他 条 件 来 选择 转发 路 径 ， 所 以 说 策略 路 由 比 传统 路 由 协议 对 报 文 的 控制 能 力 更 强 。 


10.3.3 ”基于 源 IP 地 址 的 策略 路 由 


如 果 说 上 面 的 应 用 与 就 近 访 问 方式 还 有 一 些 交集 ， 那 我 们 来 看 看 策略 路 由 选 路 的 另 
外 一 个 应 用 。 大 家 都 知道 ， 光 纤 到 户 是 目前 网 络 的 发 展 方向 ， 但 光纤 的 费用 在 今天 的 中 
国 并 不 便宜 ， 于 是 很 多 网 络 都 采用 了 光纤 加 ADSL 的 接 入 方式 ， 即 采用 两 条 速率 不 同 的 
线路 同时 接 入 互联 网 ， 此 时 ， 我 们 可 以 通过 配置 策略 路 由 让 优先 级 较 高 的 流量 走光 纤 ， 
让 优先 级 低 的 流量 走 ADSL。 如 图 10-16 所 示 。 
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图 10-16 基于 源 IP 地 址 的 策略 路 由 
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防火 墙 为 企业 出 口 网 关 ， 通 过 不 同 ISP 的 两 条 链 路 连接 到 Internet， 其 中 经 过 R1 的 
链 路 带宽 速率 较 高 ， 假 设 为 10Mbit/s; 经 过 R2 的 链 路 带宽 速率 较 小 ， 为 2Mbit/s。 为 保 
证 企业 管理 者 访问 Internet 的 用 户 体验 ， 让 其 访问 流量 从 经 过 R1 的 链 路 进行 转发 ， 而 员 
工 的 访问 流量 从 经 过 R2 的 链 路 转发 。 

想 要 实现 上 述 需求 ， 通 过 目的 地 址 查找 路 由 的 方式 是 无 法 完成 的 ， 而 通过 策略 路 由 
设置 源 IP 地 址 为 匹配 条 件 就 能 很 轻松 地 解决 此 问题 。 在 防火 墙 上 配置 如 下 我 们 以 
USG2000/5000 系列 防火 墙 为 例 )。 

(1) 根据 报 文 源 IP 地 址 设置 匹配 条 件 

[FW] acl number 3000 

[FW-acl-adv-3000] rule S permit ip source 192.168.10.0 0.0.0.255 

[FW-acl-adv-3000] quit 

[FWI] aci number 3001 


[FW-acl-adv-3001] rule 5 permit ip source 192.168.0.0 0.0.0.255 
[FW-acl-adv-3001] quit 


(2) 配置 策略 路 由 


[FW] policy-based-route boss permit node 10 

[FW-policy-based-route-boss-10] if-match acl 3000 /应 用 匹配 条 件 
[FW-policy-based-route-boss-10] apply ip-address next-hop 10.1.1.2 /配置 动作 ， 重 定向 下 一 跳 为 R1 
[FW-policy-based-route-boss-10] quit 

[FW] policy-based-route employee permit node 10 

[FW-policy-based-route-employee-10] if-match acl 3001 /应 用 匹配 条 件 
[FW-policy-based-route-employee-10] apply ip-address next-hop 10.1.2.2 /配置 动作 ， 重 定向 下 一 跳 为 R2 
[FW-policy-based-route-employee-10] quit 


(3) 应 用 策略 路 由 


[FW] interface GigabitEthernet0/0/3 


[FW-GigabitEthernet0/0/3] ip policy-based-route employee /在 入 接口 应 用 策略 路 由 
[FW-GigabitEthernet0/0/3] quit 

[FW] interface GigabitEthernet0/0/4 

[FW-GigabitEtheret0/0/4] ip policy-based-route boss // 在 入 接口 应 用 策略 路 由 
[FW-GigabitEthernet0/0/4] quit 


配置 完成 后 , 分 别 在 管理 者 和 员工 的 PC 上 ping Internet 上 的 Server 地 址 10.10.10.10， 
并 在 防火 墙 上 查看 会 话 表 详细 信息 ， 显 示 如 下 。 


[FW] dispiay firewall session table verbose 
Current total sessions: 2 
icmp VPN: public --> public 
Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:16 
Interface: GigabitEthernet0/0/1 Nexthop: 10.1.1.2 MAC:54-89-98-1d-74-24 
<--packets: 4 bytes: 240 -->packets: 4 bytes: 240 
.192.168.10.2:47646 --> 10.10. 10.10:2048 


icmp VPN: public -> public 
Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:17 
Interface: GigabitEthernet0/0/2 Nexthop: 10.1.2.2 MAC:54-89-98-ea-53-c9 
<--packets: 4 bytes: 240 -->packets: 4 bytes: 240 
192.168.0.2:53022 --> 10.10.10.10:2048 
显示 信息 中 ， 管 理 者 (192.168.10.2) 访问 Server 的 流量 是 从 R1 (10.1.1.2) 连接 的 
链 路 转发 的 ， 而 员工 (192.168.0.2) 访问 Server 的 流量 是 从 R2 (10.1.2.2) 连接 的 链 路 
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转发 的 ， 满 足 了 优先 级 高 的 流量 走高 速 链 路 ， 优 先 级 低 的 流量 走低 速 链 路 的 用 户 需 求 。 
10.3.4 ”基于 应 用 的 策略 路 由 


前 面 介绍 的 这 些 是 策略 路 由 选 路 的 一 些 传统 的 应 用 ， 在 现 网 中 ， 策 略 路 由 选 路 还 有 
一 种 常用 的 场景 是 与 应 用 有 关 。 大 家 都 知道 ， 网 络 中 各 种 应 用 层出不穷 ， 其 中 一 些 大 流 
量 的 应 用 ， 如 P2P、 在 线 视频 等 应 用 占用 了 大 量 的 出 口 带宽 ， 严 重 影响 了 企业 业务 流量 
的 转发 。 基 于 应 用 的 策略 路 由 正 是 针对 这 种 场景 提出 的 ， 策 略 路 由 与 应 用 识别 功能 相 结 
合 ， 以 流量 的 应 用 类 型 为 匹配 条 件 ， 实 现 基 于 应 用 的 策略 路 由 转发 。 

下 面 强 叔 来 验证 一 下 基于 应 用 的 策略 路 由 的 实际 效果 ， 如 图 10-17 所 示 。 
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图 10-17 基于 应 用 的 策略 路 由 


防火 墙 为 企业 出 口 网 关 , 通过 从 ISP1 和 ISP2 的 两 条 链 路 与 Internet 相连 , 其 中 ISP2 
提供 的 链 路 上 下 行 的 带宽 对 称 , 链 路 状态 稳定 , 为 企业 正常 业务 流量 主要 转发 链 路 。 ISP1 
提供 的 链 路 上 下 行 的 带宽 不 对 称 ， 网 速 较 慢 ， 但 租用 价格 低廉 ， 可 提供 给 一 些 大 流量 应 
用 (图 中 为 P2P) 转发 的 链 路 。 

我 们 通过 “比特 精灵 ”工具 模拟 P2P 业务 ， 在 Server 上 模拟 P2P 服务 器 ， 在 企业 用 
户 PC1 上 模拟 P2P 客户 端 ， 同 时 使 用 Ping 模拟 正常 业务 。 

先 在 防火 墙 上 配置 基于 应 用 的 策略 路 由 ， 让 P2P 应 用 的 流量 从 GE2/2/21 出 接口 转 
发 ， 而 正常 的 流量 直接 通过 查找 路 由 从 GE2/2/17 出 接口 转发 ， 配 置 命令 如 下 〈 我 们 以 
USG9500 系列 防火 墙 为 例 )。 

(1) 根据 报 文 源 耳 地 址 设置 匹配 条 件 


[FW] acl number 3000 
[FW-acl-ady-3000] rule S permit ip source 192.168.0.0 0.0.0.255 
[FW-acl-adv-3000] quit 


(2) 配置 策略 路 由 


[FW] traffic classifier p2p 

[FW-classifier-p2p] if-match acl 3000 category p2p /对 用 户 的 P2P 应 用 设置 为 匹配 条 件 
[FW-classifier-p2p] quit 

[FW] traffic behavior p2p 

[FW-behavior-p2p] redirect ip-nexthop 10.1.1.2 interface GigabitEthernet2/2/21 // 重 定向 出 接口 和 下 一 跳 
[FW-behavior-p2p] quit 

[FW] traffic policy p2p 

[FW-trafficpolicy-p2p] classifier p2p behavior p2p 

[FW-trafficpolicy-p2p] quit 
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(3) 应 用 策略 路 由 


[FW] interface GigabitEthernet2/2/23 
[FW-GigabitEthemet2/2/23] traffic-policy p2p inbound // 在 入 接口 应 用 策略 路 由 
[FW-GigabitEthernet2/2/23] quit 


配置 完成 后 ， 我 们 在 PC1 上 开启 “比特 精灵 ”客户 端 下 载 功能 ， 截 图 如 下 。 
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然后 我 们 在 防火 墙 上 查看 会 话 表 ， 显示 如 下 。 


[FW] display firewall session table verbose 
Current total sessions: 2 
tcp VPN: public --> public 
Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:05 Left: 00:00:02 
Interface: GigabitEthernet2/2/21 Nexthop: 10.1.1.2 
<--packets: 0 bytes: 0 -->packets: 2 bytes: 96 
192.168.0.2:1712 --> 10.10.10.10:29553 


ep VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:05 Left: 00:00:02 
Interface: GigabitEthernet2/2/21 Nexthop: 10.1.1.2 

<--packets: 0 bytes: 0 -->packets: 2 bytes: 96 

192.168.0.2:1711 --> 10.10.10.10:29553 


通过 显示 信息 可 以 看 到 ， 会 话 的 目的 地 址 和 端口 与 “比特 精灵 ”客户 端 上 的 显示 一 
致 ， 都 是 10.10.10.10:29553， 并 且 这 部 分 流量 是 从 出 接口 为 GE2/2/21、 下 一 跳 为 10.1.1.2 
的 链 路 进行 转发 的 ， 与 策略 路 由 重 定向 的 出 接口 和 下 一 跳 一 致 ， 说 明基 于 P2P 应 用 的 策 
略 路 由 应 用 成 功 。 

下 面 我 们 在 PC1 上 ping 10.10.10.10 这 个 Server 的 地 址 。 

此 时 ， 我 们 再 次 查看 会 话 表 ， 显 示 如 下 。 


[FW] display firewall session table verbose 
Current total sessions: 1 
icmp VPN: public --> public 
Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:17 
Interface: GigabitEthernet2/2/17 Nexthop: 10.1.2.2 
<--packets: 4 bytes: 240 -->packets: 4 bytes: 240 
192.168.0.2:768 --> 10.10.10.10:2048 


会 话 表 显示 ping 报 文 是 从 出 接口 GE2/2/117、 下 一 跳 为 10.1.2.2 的 链 路 进行 转发 的 。 
说 明 我 们 的 正常 业务 流量 是 从 ISP2 提供 的 链 路 进行 转发 的 ， 达 到 了 预期 要 求 。 

综合 上 面 几 个 策略 路 由 选 路 的 应 用 ， 可 以 看 到 策略 路 由 选 路 的 灵活 性 在 于 匹配 条 件 
的 灵活 多 样 ， 不 同 场景 匹配 不 同 的 条 件 ， 如 上 面 的 三 个 应 用 包含 的 匹配 条 件 分 别 为 目的 
IP 地 址 、 源 全 地 址 和 应 用 类 型 。 此 外 ， 还 有 许多 其 他 匹配 条 件 都 比较 常用 ， 如 用 户 、 
协议 类 型 等 ， 因 为 配置 方法 基本 相同 ， 这 里 就 不 一 一 介绍 了 。 
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10.3.5 “ 旁 路 组 网 下 的 策略 路 由 选 路 


现 网 中 ， 策 略 路 由 的 另外 一 种 应 用 场景 不 得 不 提 ， 即 防火 墙 旁 挂 于 企业 出 口 路 由 器 
或 核心 交换 机 的 场景 。 此 时 策略 路 由 不 是 在 PC 
防火 墙 上 配置 的 ， 是 在 路 由 器 或 交换 机 上 配 2 11.101024 
置 的 , 但 这 种 应 用 场景 在 许多 企业 出 口 和 数 
据 中 心 出 口 都 会 用 到 ， 因 此 我 们 也 对 这 种 应 ， 
用 做 一 个 介绍 和 GE0/0/2 GE0/0/2 ， 


10.1.2.2/24 10.1.2.1/24， 








| GEO/0/3 


首先 我 们 还 是 通过 实际 组 网 环境 来 验 44 
证 这 种 场景 ， 如 图 10-18 所 示 。 We - GEQ/0/0 

企业 出 口 为 路 由 器 R11， 防火 墙 旁 挂 在 GEoof ~ GEO/ON Pe 
出 口 路 由 器 R1 上 。 当 外 网 用 户 访问 内 网 服 10.1.1.2/24 10.1.1.1124 | 


务 器 时 ， 流 量 从 R1 引流 到 防火 墙 进行 安全 
防护 后 ， 再 转发 到 内 网 服务 器 。 


此 组 网 中 ， 策 略 路 由 是 在 出 口 路 由 器 > 入流 
R1 上 配置 的 ， 路 由 器 策略 路 由 的 配置 思路 > 出 
与 上 面 介绍 的 防火 墙 的 策略 路 由 配置 思路 192.16802124 

一 致 ， 都 是 先 定义 匹配 条 件 〈 本 地 为 目的 卫 图 10-18 ”防火墙 旁 桂 组 网 图 


地 址 )、 设 置 动作 〈( 重 定向 出 接口 或 下 一 跳 )， 然 后 在 入 接口 上 应 用 。 此 组 网 中 的 防火 墙 
除了 对 引入 的 流量 进行 安全 防护 外 ， 还 需要 把 流量 回 注 到 出 口 路 由 器 Rl1 上 。 

回 注 其 实 很 简单 ， 下 面 介 绍 静 态 路 由 和 OSPF 两 种 回 注 方 法 。 

1. 静态 路 由 回 注 配 置 方法 

如 表 10-1 所 示 ， 这 里 只 列 出 策略 路 由 和 静态 路 由 的 配置 。 

表 10-1 配置 静态 路 由 回 注 












# 

acl number 3000 

rule 5 permit ip destination 192.168.0.2 0 

# 

policy-based-route in permit node 10 
if-match acl 3000 


apply ip-address next-hop 10.1.2.2 ip route-static 192.168.0.0 255.255.255.0 10.1.1.1 
# 


interface GigabitEthermnet0/0/3 
ip address 10.1.4.1 255.255.255.0 
ip policy-based-route in 

# 


ip route-static 10.10.10.0 255.255.255.0 10.1.4.2 


2. OSPF 路 由 回 注 配置 方法 

当 接 入 用 户 较 多 时 考虑 使 用 此 种 配置 方式 , 方便 管理 员 维 护 。 图 10-19 所 示 组 网 中 ， 
R1 为 企业 出 口 路 由 器 ， 核 心 交换 机 LSW 接 入 内 网 服务 器 。 当 外 网 用 户 访问 内 网 服务 器 
时 ， 流 量 经 过 R1 到 达 LSW， 再 通过 在 LSW 上 配置 策略 路 由 ， 引 导 流 量 到 防火 墙 FW 
上 进行 安全 策略 过 滤 。 过 滤 后 的 流量 ， 通 过 在 FW 上 查找 OSPF 路 由 回 注 到 LSW， 再 访 
问 内 网 服务 器 。 
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RI1 
GEO0/0/0 
OSPF2 10.1.3.1/24 
GE0/0/2 GEO0/0/2 GEO/O/1 
10.1.2.2/24 10.1.2.1/24 10.1.3.2/24 


ee 


> 








GEO/O/1 
10.1.1.2/24 10.1.1.1/24 


EB 


Server Se 
192.168.0.2/24 192.168.1.2/24 


一 一 一 -入 流量 
------- 出 流量 


图 10-19 ”OSPF 组 网 图 


如 表 10-2 所 示 ， 这 里 只 列 出 策略 路 由 和 OSPF 的 配置 。 


表 10-2 


ospf 2 
area 0.0.0.0 


配置 OSPF 路 由 回 注 


# 

vlan batch 100 

# 

interface Vlanif100 
ip address 10.1.3.2 255.255.255.0 

# 

acl number 3000 
rule 5 permit ip destination 192.168.0.20 
rule 10 permit ip destination 192.168.1.2 0 
rule 15 permit ip destination 192.168.2.2 0 

# 


network 10.1.3.0 0.0.0.255 policy-based-route in permit node 10 
network 10.1.2.0 0.0.0.255 if-match acl 3000 


apply ip-address next-hop 10.1.2.2 
# 


interface GigabitEthernet0/0/3 
port link-type access 
port default vlan 100 
ip policy-based-route in 

# 


ospf 1 
area 0.0.0.0 











Server 
192.168.2.2/24 


ospf 1 
import-route ospf 2 
area 0.0.0.0 
network 10.1.1.0 0.0.0.255 
ospf 2 
import-route ospf 1 
area 0.0.0.0 
network 10.1.2.0 0.0.0.255 
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〈 续 表 ) 










ospf 
import-route ospf 2 


en i 
10.1.1.0 0.0.0.255 
network 192.168.0.0 0.0.0.255 







ospf 2 network 192.168.1.0 0.0.0.255 area 0.0.0.0 
area 0.0.0.0 network 192.168.2.0 0.0.0.255 network 10.1.1.0 0.0.0.255 
network 10.1.3.0 0.0.0.255 ospf 2 ospf 2 
network 10.1.2.0 0.0.0.255 area 0.0.0.0 import-route ospf 1 
network 10.1.3.0 0.0.0.255 area 0.0.0.0 


network 10.1.2.0 0.0.0.255 network 10.1.2.0 0.0.0.255 


通过 OSPF 回 注 的 配置 相对 复杂 一 些 , 首先 要 在 LSW 上 使 用 OSPF 双 进 程 对 上 下 行 
流量 进行 隔离 ， 然 后 通过 策略 路 由 将 流量 引导 到 FW， 最 后 在 FW 上 配置 两 个 OSPF 进 
程 互 相 引 入 ， 可 以 使 OSPF 两 个 进程 可 以 相互 学 习 到 对 方 进程 的 路 由 。 

LSW 上 策略 路 由 完成 了 流量 的 引流 ，FW 上 静态 路 由 或 OSPF 完成 了 流量 的 回 注 。 
配置 完成 后 ， 通 过 在 外 网 PC 〈10.10.10.10) 上 Tracert 内 网 Server 的 地 址 192.168.0.2， 
可 以 看 到 如 下 结果 (以 静态 路 由 组 网 配置 为 例 )。 

”PC>tracert 192.168.02 
traceroute to 192.168.0.2, 8 hops max 
(ICMP),pressCtrltCtostop 

1 10.10.10.1 ”16ms <lms <lms 

2 10.14.1 3lms 3lms 32ms 

3 10.122 140ms 63ms 47ms 

4 10111’ 94ms 62ms 47 ms 

5 192.168.0.2 63ms 78ms 94ms 

路 径 信 息 中 显示 , 访问 流量 经 过 FW 后 ， 再 回 到 R1， 最 后 到 目标 Server， 达 到 了 预 
期 效果 。 

策略 路 由 选 路 其 实 就 是 对 符合 匹配 条 件 的 流量 进行 选 路 ， 重 新 选 定 出 接口 和 下 一 
跳 。 这 就 要 求 管理 员 对 网 络 现状 有 充分 的 了 解 ， 能 根据 网 络 现状 选择 合适 的 匹配 条 件 。 
比如 清楚 地 知道 多 条 出 口 链 路 的 优异 ， 就 能 让 企业 重要 客户 或 重要 的 业务 流量 从 优先 级 
高 的 链 路 进行 转发 。 灵 活 地 应 用 策略 路 由 ， 可 以 为 管理 员 提 供 更 多 的 网 络 规划 手段 。 

然而 实际 网 络 中 ， 各 种 各 样 的 网 络 环境 都 可 能 遇 到 ， 管 理 员 不 可 能 尽 知 网 络 情况 。 
此 种 情况 下 ， 有 没有 一 种 选 路 方式 能 自动 探测 网 络 环境 的 优 劣 ， 并 根据 探测 情况 对 流量 
进行 选 路 呢 ? 另外 ， 策 略 路 由 选 路 也 无 法 对 出 口 带 宽 进 行 合 理 地 、 精 确 地 控制 ， 那 有 没 
有 一 种 选 路 方式 能 够 满足 以 上 期 望 呢 ? 请 继续 关注 下 节 一 一 智能 选 路 ! 


10.4 智能 选 路 


与 其 他 选 路 相 比 ， 智 能 选 路 的 优势 当然 是 它 的 “智能 ”部 分 。 智 能 选 路 能 够 智能 地 
控制 链 路 的 带宽 ， 为 管理 员 合理 地 分 配 链 路 带宽 提供 了 方便 。 智 能 选 路 也 能 够 智能 地 判 
断 链 路 的 质量 ， 让 用 户 流量 根据 链 路 质量 差异 选择 合适 的 链 路 转发 。 下 面 强 叔 带领 大 家 
一 起 看 看 智能 选 路 是 如 何 实现 这 些 功能 的 。 

智能 选 路 ， 关 键 在 于 它 的 几 种 选 路 模式 : 链 路 带宽 模式 、 路 由 权重 模式 和 链 路 质量 
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探测 模式 ， 不 同 的 模式 有 着 不 同 的 应 用 。 但 从 功能 来 看 ， 链 路 带宽 模式 和 路 由 权重 模式 
着 重点 在 “控制 链 路 的 带宽 ”， 而 质量 探测 模式 则 关注 的 是 “智能 地 判断 链 路 的 质量 ”。 


10.4.1 链 路 带宽 模式 


链 路 带宽 模式 是 以 链 路 带宽 为 基础 来 为 用 户 流量 分 配 出 口 链 路 ， 具 体 的 实现 在 不 同 
的 防火 墙 上 有 所 区 别 。 

。 USG9500 系列 防火 墙 : 按照 每 条 出 口 链 路 的 物理 带宽 比例 来 分 配 用 户 流量 ， 如 
三 条 出 口 链 路 的 接口 分 别 为 GE、GE 和 10GE 接口 , 那么 流量 分 配 的 比例 为 1:1:10。 

。 USG6000 系列 防火 墙 : 按照 管理 员 在 每 条 出 口 链 路 的 接口 上 指定 的 带宽 比例 分 
配 用 户 流量 ， 如 管理 员 在 三 条 出 口 链 路 的 接口 指定 的 带宽 分 别 为 100Mbit/s、 
200Mbit/s 和 500Mbit/s， 那 么 流量 分 配 的 比例 为 1:2:5。 

如 图 10-20 所 示 ， 我 们 以 USG9500 系列 防火 墙 为 例 验 证 链 路 带宽 模式 的 智能 选 路 应 用 。 


Server3 Server4 


Server2 10.11.11.13 10.11.11.14 Server5 
10.11.11.12 人 10.11.11.15 






RouterA RouterB 
Eth-Trunkl NN-. | 172.16.10.2/24 
172.16.1.2/24 


GE2/2/19 
172.16.10.1/24 


防火 二 


Eth-Trunkl ss 
172.16.1.1/24 : 


GE2/2/23 
192.168.0.1/24 


Pcl 
192.168.0.2/24 
图 10-20 链 路 带宽 模式 组 网 图 


防火 墙 作为 企业 出 口 网 关 通 过 两 条 链 路 连接 到 Internet， 其 中 跟 ISP1 连接 的 链 路 是 
两 个 GE 接口 绑 定 的 Eth-Trunk 链 路 ， 跟 ISP2 连接 的 链 路 是 一 条 GE 链 路 。 因 为 链 路 带 
宽 模式 的 智能 选 路 是 按 物理 接口 所 占 带 宽 比 例 来 分 配 用 户 流 量 的 ， 因 此 在 防火 墙 上 配置 
链 路 带宽 模式 智能 选 路 后 ，ISP1 和 ISP2 连接 的 链 路 分 配 的 用 户 流量 比例 为 2:1。 

在 USG9500 系列 防火 墙 上 链 路 带宽 模式 的 智能 选 路 的 配置 如 下 。 
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(1) 配置 等 价 路 由 。 


智能 选 路 的 应 用 是 建立 在 等 价 路 由 的 基础 上 的 ， 多 条 出 口 链 路 就 需要 多 条 等 价 路 
由 ， 本 例 中 为 两 条 。 


DO 说 明 
当前 对 于 USG9500 系列 防火 墙 来 说 这 个 等 价 路 由 可 以 是 静态 路 由 、 动 态 路 由 、 缺 省 路 
由 ,但 对 于 USG6000 系列 防火 墙 来 说 这 个 等 价 路 由 必须 是 等 价 缺 省 路 由 (0.0.0.0 )。 


[FW] ip route-static 0.0.0.0 0 172.16.1.2 
[FW] ip route-static 0.0.0.0 0 172.16.10.2 


(2) 配置 智能 选 路 模式 为 链 路 带宽 模式 。 
[FW] ucmp group 1 test mode proportion-of-bandwidth 
(3) 在 接口 上 应 用 智能 选 路 。 


[EW] interface Eth-Trunk 1 
[FEW-Eth-Trunkl] ucmp-group 1 
[FW-Eth-Trunkl] quit 

[FW) interface GigabitEthernet 2/2/19 
[FW-GigabitEthemet2/2/19] ucmp-group 1 
[FW-GigabitEthemet2/2/19] quit 


配置 完成 后 ， 我 们 在 内 网 PC1 (192.168.0.2) 上 访问 Internet 上 的 6 个 Server， 然 后 
在 防火 墙 上 查看 会 话 表 ， 显 示 如 下 。 


[FW] display firewall session table verbose 
Current total sessions: 6 
icmp VPN: public --> public 
Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:20 
Interface: Eth-Trunk] Nexthop: 172.16.1.2 
<--packets: 7 bytes: 420 -->packets; 7 bytes: 420 
192.168.0.2:768 -> 10.11.11.12:2048 


icmp VPN: public --> public 

Zone: trust -> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: GigabitEthernet2/2/19 Nexthop: 172.16.10.2 
<--packets: 18 bytes: 1080 -->packets: 18 bytes: 1080 
192.168.0.2:768 --> 10.11.11.13:2048 


icmp VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:20 
Interface: Eth-Trunkl, Nexthop: 172.16.1.2 

<--packets: 16 bytes: 960 -->packets: 16 bytes: 960 


icmp VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: GigabitEthernet2/2/19 Nexthop: 172.16.10.2 
<-packets: 12 bytes: 720 -->packets: 12 bytes: 720 
192.168.0.2:768 --> 10.11.11.16:2048 


icmp VPN: public --> public 
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Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:20 
Interface: Eth-Trunkl Nexthop: 172.16.1.2 

<--packets: 14 bytes: 840 -->packets: 14 bytes: 840 
192.168.0.2:768 --> 10.11.11.15:2048 


icmp VPN: public --> public 

Zone: trust -一 untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: Eth-Trunkl Nexthop: 172.16.1.2 

<--packets: 21 bytes: 1260 -->packets: 21 bytes: 1260 
192.168.0.2:768 --> 10.11.11.11:2048 


通过 显示 信息 可 以 看 到 ， 会 话 表 中 有 6 条 会 话 ， 其 中 4 条 显示 的 出 接口 和 下 一 跳 为 
Eth-Trunkl 和 172.16.1.2，2 条 显示 的 出 接口 和 下 一 跳 为 GE2/2/19 和 172.16.10.2。 这 里 
说 明 一 点 ， 智 能 选 路 功能 是 采用 逐 流 的 方式 进行 IP 报 文 转发 。 所 谓 “ 逐 流 ” 就 是 将 属于 
同一 条 流 的 报 文 都 从 同一 条 链 路 转发 ， 这 里 的 “一 条 流 ” 可 以 理解 为 防火 墙 上 建立 的 一 
条 会 话 或 一 个 连接 。 所 以 本 例 中 用 户 流量 的 比例 为 2:1 指 两 条 链 路 上 承载 的 会 话 数量 为 
2:1， 虽 然 每 条 会 话 连接 的 用 户 流量 不 一 定 相 同 ， 但 如 果 是 用 户 发 起 的 会 话 连接 数 比较 多 
的 时 候 ， 从 统计 学 的 角度 来 分 析 ， 它 们 的 流量 比例 也 接近 于 2:1。 

除 此 之 外 ， 链 路 带宽 模式 的 智能 选 路 还 可 以 对 每 条 链 路 设置 带宽 闵 值 ， 当 一 条 链 路 转 
发 的 流量 超过 设置 的 带宽 阐 值 时 , 后 续 流 量 会 按照 其 他 正常 工作 链 路 的 物理 带宽 比例 重新 分 
配 。 防 火 墙 每 60 秒 会 对 链 路 带宽 变化 进行 检测 ， 检 测 的 带宽 流量 是 前 5 分 钟 内 带宽 流量 的 
平均 值 。 如 果 60 秒 内 有 突 发 流量 超过 设置 的 带宽 六 值 时 ， 防 火 墙 是 无 法 实时 检测 到 的 。 

带宽 冰 值 的 设置 与 实际 的 链 路 带宽 有 关 ， 链 路 的 带宽 越 大 ， 阔 值 也 应 该 设置 较 大 。 
此 外 ， 带 宽 闪 值 的 设置 可 以 在 接口 的 出 入 方向 同时 设置 ， 也 可 以 只 在 一 个 方向 设置 ， 如 
果 在 出 入 方向 同时 设置 ， 只 要 有 一 个 方向 的 流量 超过 设置 的 带宽 阐 值 ， 用 户 流量 就 会 按 
照 其 他 正常 工作 链 路 的 物理 带宽 比例 重新 分 配 。 下 面 我 们 以 接口 出 方向 设置 带宽 阔 值 为 
例 来 说 明 防火 墙 上 设置 带宽 阐 值 的 具体 配置 方法 。 

[FW] interface Eth-Trunk 1 

[FW-Eth-Trunkl1] ucmp-group 1 

[FW-Eth-Trunk1] ucmp-threshold outbound 1000 /在 接口 出 方向 设置 带宽 阔 值 为 1000Mbits 

[FW-Eth-Trunk1] quit 

[FW] interface GigabitEthernet 2/2/19 

[FW-GigabitEthernet2/2/19] uemp-group 1 

[FW-GigabitEthemet2/2/19] ucmp-threshold outbound 500 // 在 接口 出 方向 设置 带宽 阐 值 为 S00Mbit/s 

[FW-GigabitEthernet2/2/19] quit 

配置 了 带宽 阐 值 后 ， 如 果 从 Eth-Trunkl 接口 出 去 的 流量 超过 1 000Mbit/s， 后 续 的 新 
建 会 话 流量 将 从 GE2/2/19 接口 转发 ， 反 之 ， 也 一 样 。 当 流量 恢复 到 带宽 阔 值 的 95% 时 ， 
此 条 链 路 又 会 重新 按照 链 路 带宽 模式 进行 流量 分 配 。 下 面 是 流量 超过 接口 设置 的 带宽 闭 
值 时 产生 的 日 志 。 


UCMP/6/UCMP_INFO(): The interface bandwidth usage exceeded the threshold! ( interface = Eth-Trunk 1],direction= 
{ outbound]). 


USG9500 系列 防火 墙 的 链 路 带宽 模式 是 根据 物理 链 路 带宽 来 分 配 流量 的 , 物理 链 路 
带宽 越 大 ， 分 配 的 流量 就 越 多 ， 所 以 管理 员 在 应 用 这 种 模式 时 ， 考 虑 的 是 尽 可 能 地 利用 
链 路 的 带宽 ， 保 证 每 条 链 路 带宽 最 大 限度 地 使 用 。 然 而 ， 这 种 以 物理 链 路 带宽 分 配 流量 
的 方式 存在 这 样 的 问题 : 当 上 游 ISP 设备 在 入 接口 进行 带宽 流量 限制 时 ， 比 如 物理 链 路 
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带宽 为 2Gbit/s， 但 上 游 限制 到 为 1G， 此 时 会 导致 本 端 防火 墙 实际 带宽 达 不 到 物理 链 路 
带宽 ， 这 时 按 物理 链 路 带宽 分 配 流量 可 能 会 造成 不 合理 。 如 果 能 按照 管理 员 指 定 的 带宽 
进行 流量 分 配 ， 把 一 些 人 为 因素 都 考虑 进去 ， 会 更 科学 一 些 。 


10.4.2 ”路 由 权重 模式 


在 前 面 我 们 说 过 ， 链 路 带宽 模式 和 路 由 权重 模式 着 重点 都 在 “控制 链 路 的 带宽 ”。 不 同 
的 是 , 路 由 权重 模式 不 以 物理 链 路 带宽 的 多 少 来 分 配 流量 , 而 是 通过 管理 员 在 每 条 链 路 上 设 
置 权重 值 的 比例 来 分 配 流量 , 权重 值 设置 的 越 大 , 流量 分 配 的 越 多 。 如 图 10-21 所 示 的 组 网 ， 
让 我 们 通过 实际 组 网 环境 看 看 路 由 权重 模式 的 智能 选 路 是 如 何 分 配 链 路 的 带宽 的 。 


Server3 Server4 
Server2 10.11.11.13 10.11.11.14 Server5 
10.11.11.12 e 10.11.11.15 









Serverl #4 ss 


Eth-Trunkl i l 172.16.10.2/24 
172.16.1.2/24 


GE2/2/19 
172.16.10.1/24 


防火 墙 


Eth-TrunkT 
172.16.1.1/24 


GE2/2/23 
192.168.0.1/24 


192.168.0.2/24 
图 10-21 路 由 权重 模式 组 网 图 


管理 员 在 Eth-Trunk 链 路 上 设置 的 权重 值 为 5, 在 GE 链 路 上 设置 的 权重 值 为 10。 实 
际 网 络 中 权重 的 设置 是 按照 链 路 的 实际 带宽 、 链 路 的 优异 程度 来 对 比 设置 的 。 此 组 网 中 ， 
强 叔 是 为 了 显示 权重 的 效果 而 特意 这 样 设置 的 ， 实 际 应 用 中 还 是 带宽 大 的 链 路 权重 值 也 
应 设置 的 比较 大 。 

下 面 我 们 按照 组 网 要 求 在 USG9500 系列 防火 墙 上 配置 路 由 权重 模式 的 智能 选 路 。 

(1) 配置 等 价 路 由 。 与 链 路 带宽 模式 一 样 ， 路 由 权重 模式 也 需要 配置 等 价 路 由 ， 只 
nit dd inl nalts hic 


[FW]p Foute etatic 00.00 0172.16.10.2 
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(2) 配置 智能 选 路 模式 为 路 由 权重 模式 。 
[FW] ucmp group 1 test mode proportion-of-route 
(3) 在 接口 上 应 用 智能 选 路 。 


[FW] interface Eth-Trunk 1 
[FEW-Eth-Trunkl] ucmp-group 1 
[FW-Eth-Trunkl] ucmp-weight S 
[FwW-Eth-Tronkl] quit 

[FW] interface GigabitEthernet 2/2/19 
[FW-GigabitEthernet2/2/19] ucmp-group 1 
[FW-GigabitEthemet2/2/19] ucmp-weight 10 
[FW-GigabitEthemet2/2/19] quit 


配置 完成 后 ， 我 们 在 内 网 PC1 (192.168.0.2) 上 访问 Internet 上 的 6 个 Server， 然 后 
在 防火 墙 上 查看 会 话 表 ， 显 示 如 下 。 


[FW] display firewall session table verbose 
Current total sessions: 6 
icmp VPN: public --> public 
Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: GigabitEthernet2/2/19 Nexthop: 172.16.10.2 
<--packets: 25 bytes: 1500 -->packets: 25 bytes: 1500 
192.168.0.2:768 --> 10.11.11.12:2048 


icmp VPN: public --> public 

Zone: trust --> untrust Slot 3 CPU: 3 TTL.: 00:00:20 Left: 00:00:19 
Interface: GigabitEthernet2/2/19 Nexthop: 172.16.10.2 
<--packets: 22 bytes: 1320 -->packets: 22 bytes: 1320 
192.168.0.2:768 --> 10.11.11.13:2048 


icmp VPN: public --> public ， 

Zone: trust --> untrust Slot: 3 CPU; 3 TTL: 00:00:20 Left: 00:00:19 
Interface: Eth-Trunkl Nexthop: 172.16.1.2 

<--packets: 19 bytes: 1140 -->packets: 19 bytes: 1140 


icmp VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: GigabitEthernet2/2/19 Nexthop: 172.16.10.2 
<--packets: 13 bytes: 780 -->packets: 13 bytes: 780 
192.168.0.2:768 --> 10.11.11.16:2048 


icmp VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: GigabitEthernet2/2/19 Nexthop: 172.16.10.2 
<--packets: 16 bytes: 960 -->packets: 16 bytes: 960 
192.168.0.2:768 --> 10.11.11.15:2048 


icmp VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: Eth-Trankl Nexthop: 172.16.1.2 

<--packets: 28 bytes: 1680 -->packets: 28 bytes: 1680 


从 显示 信息 中 我 们 看 到 ， 虽 然 Eth-Trunk 接口 虽然 是 2GE 链 路 ， 但 是 它 上 面 分 配 的 
流量 只 有 2 条 ， 而 另外 4 条 流量 都 是 从 出 接口 和 下 一 跳 为 GE2/2/19 和 172.16.10.2 的 链 
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路 转发 的 。 流 量 分 配 比例 为 1:2， 与 我 们 设置 的 路 由 权重 值 比例 一 致 。 所 以 说 ， 路 由 权 
重 模式 的 智能 选 路 是 根据 路 由 权重 值 的 比例 来 分 配 流量 的 。 

与 链 路 带宽 模式 的 智能 选 路 一 样 ， 路 由 权重 模式 也 可 以 设置 带宽 闵 值 ， 当 链 路 转发 
的 流量 超过 设置 的 带宽 阀 值 时 ， 则 后 续 新 建 流量 会 按照 其 他 正常 工作 链 路 的 权重 值 比例 
重新 分 配 。 同 样 ， 也 是 每 过 60 秒 会 对 链 路 带宽 变化 进行 检测 ， 检 测 的 带宽 流量 是 前 5 
分 钟 内 带宽 流量 的 平均 值 。 当 流量 恢复 到 带宽 阔 值 的 95% 时 ， 此 条 链 路 重新 按照 路 由 权 
重 模式 进行 流量 分 配 。 带 宽阔 值 的 配置 方法 与 链 路 带宽 模式 一 致 ， 此 处 不 再 赣 述 。 


10.4.3” 链 路 质量 探测 模式 


链 路 质量 探测 模式 的 智能 选 路 与 其 他 两 个 模式 有 所 不 同 ， 质 量 探测 模式 不 关注 每 条 
链 路 分 配 的 流量 比例 ， 它 的 侧重 点 在 于 根据 链 路 的 质量 转发 流量 。 质 量 探测 模式 会 对 出 
口 的 每 条 链 路 进行 探测 ， 让 探测 结果 最 优 的 链 路 转发 用 户 流量 。 如 图 10-22 所 示 ， 我 们 
以 USG9500 系列 防火 墙 为 例 来 说 明 质 量 探测 模式 的 原理 。 
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10.11.11.12 10.11.11.15 













Serverl 全 所 | 
10.11.11.11 有 所 ~| Server6 


RouterA RouterB 
Eth-Trunkl .十 [>、 10.1.3.2/24 
172.16.1.2/24 | 


000ms RR- RouterC 
Eth-Trunkl ,十 |-、 > 
172.16.1.1/24 “| 蕊 | 10.1.1.2/24 
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图 10-22 链 路 质量 探测 模式 组 网 


组 网 图 中 的 Eth-Trunkl 链 路 保持 不 变 ， 但 另外 一 条 链 路 上 我 们 增加 了 一 台 设 备 
RouterC， 同 时 在 RouterC 连接 RouterB 的 接口 上 使 用 命令 speed 10 把 接口 速率 修改 为 
10Mbit/s， 这 样 做 的 目的 是 让 流 经 ISP2 的 报 文 传输 时 延 增 大 ， 为 验证 链 路 质量 探测 模式 
的 智能 选 路 创造 条 件 。 
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在 USG9500 系列 防火 墙 上 配置 质量 探测 模式 的 智能 选 路 ， 如 下 所 示 。 
(1) 配置 等 价 路 由 。 与 其 他 模式 一 样 ， 链 路 探测 模式 也 需要 配置 等 价 路 由 ， 只 有 两 
条 链 路 都 存在 等 价 路 由 时 智能 选 路 才能 生效 。 


[FW] ip route-static 0.0.0.0 0 172.16.1.2 
[FW] ip route-static 0.0.0.0 0 10.1.1.2 


(2) 配置 智能 选 路 模式 。 

[FW] uemp group uempl mode proportion-of-intelligent-control // 配 置 智能 选 路 的 工作 模式 为 质量 探测 模式 
[FW] ucmp group ucmpl intelligent-control-mask 24 /配置 智能 选 路 的 掩 码 长 度 

(3) 在 接口 上 应 用 智能 选 路 。 


[FW] interface Eth-Trunk 1 
[FW-Eth-Trank1] ucmp-group 1 E : 
[FW-Eth-Trunk1] healthcheck source-ip 1 172.16.11 ” /已 置 健康 检查 源 下 地 址 
[FW-Eth-Trunk1] quit 9 。 
[FW] interface GigabitEthernet 2/2/21 
[FW-GigabitEthemet2/2/21] ucmp-group 1 
[FW-GigabitEthernet2/2/21] healthcheck source-ip 10.1.1.1 “ /配置 健康 检查 源 耻 地 址 
[FW-GigabitEthernet2/2/21] quit 
配置 完成 后 ， 我 们 在 PC1 (192.168.1.2) 上 ping Serverl 的 地 址 10.11.11.11， 然 后 在 
防火 墙 上 查看 会 话 表 ， 显 示 如 下 。 
[FW] display firewall session table 
Current total sessions: 3 
Slot: 3 CPU: 3 
icmp VPN: public --> public 10.1.1.1:1037 -> 10.11.11.11:2048 
icmp VPN: public --> public 192.168.0.2:768 --> 10.11.11.11:2048 
icmp VPN: public --> public 172.16.1.1:1036 --> 10.11.11.11:2048 


通过 显示 信息 , 我们 看 到 了 3 条 ICMP 会 话 , 除了 从 PC1 上 ping 10.11.11.11 产生 的 
icmp VPN: public --> public 192.168.0.2:768--> 10.11.11.11:2048 这 条 会 话 外 ， 还 产生 了 另 
外 两 条 ICMP 会 话 。 为 什么 会 出 现 这 两 条 会 话 ? 

事实 上 ， 质 量 探 测 模 式 的 智能 选 路 配置 生效 后 ， 防 火 墙 会 对 远 端 目的 地 进行 探测 ， 
探测 从 哪 条 链 路 报 文 转发 的 时 延 最 小 ， 详 细 过 程 如 下 。 

《1) 当 用 户 访问 外 网 的 报 文 到 达 防 火 墙 后 ， 防 火 墙 首先 查找 报 文 中 的 目的 卫 地 址 。 

(2) 查找 到 报 文 的 目的 他 后 , 防火 墙 会 从 每 条 出 口 链 路 发 送 ICMP 报 文 对 这 个 目的 
地 址 进行 探测 ， 通 常 是 每 条 链 路 发 送 4 个 ICMP 报 文 。 发 送 ICMP 报 文 的 源 地 址 为 配置 
的 健康 检查 的 源 全 地 址 (一 般 为 出 接口 地 址 )， 目 的 地 址 为 用 户 报 文 的 目的 他 地址 。 因 
此 本 例 中 防火 墙 上 出 现 了 另外 两 条 ICMP 会 话 是 两 条 链 路 上 的 探测 报 文 对 应 的 会 话 。 

(3) 通过 汇总 4 个 ICMP 报 文 的 平均 值 ， 防 火 墙 会 计算 从 每 条 链 路 发 送 ICMP 报 文 
到 目的 卫 的 时 延 ， 并 产生 等 价 最 佳 出 接口 表 项 ， 表 项 中 记录 每 条 链 路 的 时 延 大 小 ， 最 后 
从 中 选择 时 延 最 小 的 链 路 作为 用 户 报 文 转发 的 链 路 。 

(4) 后 续 访 问 此 目的 网 段 的 报 文 都 会 选择 从 此 链 路 转发 。 目 的 网 段 与 前 面 配置 的 智 
能 选 路 掩 码 长 度 有 关 ， 此 例 配置 的 掩 码 长 度 是 24， 则 掩 码 为 255.255.255.0， 此 掩 码 与 用 
户 报 文 的 目的 耳 进行 与 运算 可 以 得 到 目的 网 段 ， 本 例 目的 网 段 为 10.11.11.0/24。 

防火 墙 生成 这 三 条 会 话 后 ， 通 过 display ucmp group 1 intelligent-control-table 命令 
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可 以 查看 质量 探测 模式 智能 选 路 的 等 价 最 佳 出 接口 表 项 ， 能 够 看 到 最 终 计 算出 的 链 路 时 
延 大 小 (单位 : 毫秒 )。 


[FW) display ucmp group 1 intelligent-control-table 
UCMP intelligent control table item(s) on slot 3 cpu 3 
Group ID:1 IP:10.11.11.11 HitTime:13550 TTL:300 
LeftTime:281 Static:0 RemoteSync:0 Status:2(VALID) 
interface : 
Eth-Trunkl NextHop:172.16.1.2 Delay:1 
GigabitEthernet2/2/21 NextHop:10.1.1.2 Delay:3000 


通过 显示 信息 了 解 到 ， 从 Eth-Trunkl 接口 进行 转发 的 链 路 时 延 比 较 小 为 ms， 所 以 
后 续 只 要 是 内 网 用 户 访 问 10.11.11.0/24 网 段 ， 都 会 从 Eth-Trunkl 接口 转发 。 当 然 这 是 在 
等 价 最 佳 出 接口 表 项 没有 老化 的 情况 下 〈 缺 省 为 5 分 钟 )， 当 等 价 最 佳 出 接口 表 项 老化 后 ， 
后 续 报 文 要 重新 进行 探测 。 

我 们 在 PC1 (192.168.1.2) 上 ping Serverl 一 Server 6 的 地 址 10.11.11.12~10.11.11.16， 
然后 在 防火 墙 上 查看 会 话 表 ， 显 示 如 下 。 


[FW] display firewall session table verbose 
Current total sessions: 5 - 
icmp VPN: public —> public 
Zone: trust --> untrust Slot 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: Eth-Trunkl Nexthop: 172.16.1.2 
<--packets: 22 bytes: 1320 -->packets: 22 bytes: 1320 
—192.168.0.2:768 - 10.11.11.12:2048 


icmp VPN: public -> public 
Zone: trust --> untmust Slot 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: Eth-Trunkl Nexthop: 172.16.1.2 
~ <--packets: 16 bytes: 960 ->packets: ee 960 
192.168.0.2:768 --> 10.11.11.13:2048 


icmp VPN: public --> public 

Zone: trust --> untrast Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 

Interface: Eth-Trunk] Nexthop: 172.16.1.2 

<--packets: 21 bytes: 1260 —>packets: 21 bytes: 1260 
192.168.0.2:768 -> 10.11.11.14:2048 


icmp VPN: public --> public 

Zone: trust --> untrust Slot 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: Eth-Trunk1 Nexthop: 172.16.1.2 

<--packets: 13 bytes: 780 -->packets: 13 bytes: 780 
192.168.0.2:768 -> 10.11.11.16:2048 


icmp VPN: public -> public ， 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 

Interface: Eth-Trunkl Nexthop: 172.16.1.2 

<--packets: 18 bytes: 1080 -->packets: 18 bytes: 1080 

192.168.0.2:768 -> 10.11.11.15:2048 

显示 信息 中 显示 ， 用 户 PC1 访问 10.11.11.12~10.11.11.16 的 报 文 都 是 从 Eth-Trunkl 
进行 转发 的 ， 与 质量 探测 模式 选择 时 延 最 小 链 路 转发 流量 的 原理 是 一 致 的 。 当 然 ， 质 量 
探测 模式 与 前 面 两 种 模式 一 样 ， 也 可 以 配置 带宽 阐 值 ， 原 理 也 基本 一 致 ， 只 有 当 流 量 超 
过 设置 的 带宽 阐 值 时 ， 后 续 新 建 会 话 的 流量 将 从 时 延 第 二 小 的 链 路 转发 ， 以 此 类 推 。 
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除 此 之 外 ， 质 量 探测 模式 的 智能 选 路 功能 还 可 以 根据 网 络 的 实际 情况 手动 设置 访问 某 
些 目的 网 段 的 流量 从 指定 的 链 路 转发 。 如 需要 访问 10.11.11.12 网 段 的 用 户 流量 首先 从 GE2/2/ 
21 接口 转发 ， 链 路 带宽 到 达 设 置 的 阔 值 后 再 从 Eth-Trunkl 接口 转发 。 此 种 情况 配置 如 下 。 


[FW] ucmp group 1 intelligent-control-static 10.11.11.12 interface GigabitEthernet 2/2/21 nexthop 10.1.1.2 Eth-Trunkl 
nexthop 172.16.1.2 


配置 完成 后 , 我 们 在 PC1(192.168.1.2) 上 ping Serverl~Server 6 的 地 址 10.11.11.12 一 
10.11.11.16， 然 后 在 防火 墙 上 查看 会 话 表 ， 显 示 如 下 。 


[FEW] display firewall session table verbose 
Current total sessions: 5 
icmp VPN: public —> public 
Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:;20 Left: 00:00:19 
Interface: GigabitEthernet2/2/19 Nexthop: 10.1.1.2 
<--packets: 58 bytes: 44602 -->packets: 58 bytes: 44602 
192.168.0.2:768 --> 10.11.11.12:2048 
icmp VPN: public --> public 
Zone: trust ~-> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: Eth-Trunkl Nexthop: 172.16.1.2 


<--packets: 52 bytes: 39988 -->packets: 52 bytes: 39988 
192.168:0.2:768 —> 10.11.11.13:2048 


icmp VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL.: 00:00:20 Left: 00:00:19 
Interface: Eth-Trunkl Nexthop: 172.16.1.2 

<--packets: 46 bytes: 35374 -->packets; 46 bytes: 35374 
192.168.0.2:768 --> 10.11.11.14:2048 


icmp VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: Eth-Trunkl Nexthop: 172.16.1.2 

<--packets: 250 bytes: 192250 -->packets: 250 bytes: 192250 
192.168.0.2:768 --> 10.11.11.16:2048 


icmp VPN: public --> public 
Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: Eth-Trunkl Nexthop: 172.16.1.2 
<--packets: 56 bytes: 43064 -->packets: 56 bytes: 43064 
192.168.0.2:768 --> 10.11.11.15:2048 
从 显示 信息 可 以 看 到 , 访问 10.11.11.12 这 个 服务 器 的 流量 是 按照 静态 配置 的 选 路 方 
式 从 GE2/2/21 接口 进行 转发 的 ， 其 他 的 流量 则 是 按照 质量 探测 模式 的 动态 选 路 方式 从 
Eth-Trunkl 接口 进行 转发 。 流 量 是 优先 选择 质量 探测 模式 的 手动 配置 方式 ， 如 果 没 有 匹 
配 到 静态 配置 的 选 路 方式 ， 才 按照 质量 探测 模式 的 动态 选 路 方式 转发 。 
这 种 静态 配置 的 方法 ， 补 充 了 质量 探测 模式 因 大 部 分 流量 从 某 一 条 时 延 最 小 的 链 路 转 
发 而 导致 其 他 链 路 空闲 的 缺陷 ， 使 质量 探测 模式 的 智能 选 路 更 加 适用 于 复杂 的 现 网 环境 。 
质量 探测 模式 的 智能 选 路 优势 在 于 它 的 链 路 质量 探测 ， 但 是 目前 链 路 质量 的 探测 是 
通过 ICMP 报 文 来 实现 的 ， 就 是 通过 ping 远 端的 目的 地 址 来 检查 链 路 的 质量 。 然 而 ， 实 
际 网 络 中 为 了 防止 ICMP Flood 攻击 ， 很 多 ISP 和 ICP 都 禁止 了 ping 操作 ， 这 样 无 疑 给 
质量 探测 模式 的 智能 选 路 带 来 了 麻烦 ， 所 以 防火 墙 在 后 续 版 本 规划 中 ， 考 虑 了 多 种 链 路 
质量 探测 方式 ， 如 TCP 报 文 探测 等 。 
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智能 选 路 在 出 口 链 路 的 流量 负载 、 带 宽 的 充分 合理 利用 方面 给 管理 员 提 供 了 更 多 的 
选择 。 但 是 智能 选 路 的 应 用 是 建立 在 等 价 路 由 的 基础 上 的 ， 如 果 没 有 等 价 路 由 ， 要 完成 
链 路 的 流量 负载 和 带宽 的 合理 利用 ， 智 能 选 路 也 是 妄 谈 。 那 不 用 等 价 路 由 的 负载 选 路 方 
式 是 否 存在 呢 ? 


10.5 透明 DNS 选 路 


10.5.1 基本 原理 


大 家 都 知道 ， 我 们 访问 Internet 服务 时 ， 大 多 数 情 况 下 都 是 通过 域名 来 访问 的 ， 而 
实际 的 报 文 的 正确 转发 是 依据 报 文中 的 “目的 人 地 址 ”来 完成 的 ,所 以 我 们 在 访问 Internet 
业务 之 前 需要 先 访问 DNS 服务 器 ， 通 过 DNS 服务 器 解析 出 “域名 ”和 “目的 IP 地 址 ” 
的 对 应 关系 。 在 现 网 中 ， 许 多 知名 的 服务 会 在 多 个 ISP 内 部 署 ， 这 样 就 会 出 现 同样 的 域 
名 对 应 着 多 个 IP 地 址 的 情况 。 如 果 企 业 网 络 的 多 个 出 接口 连接 不 同 的 ISP， 用 户 访问 同 
一 个 服务 的 流量 就 会 被 负载 到 每 个 ISP 的 服务 器 上 ， 这 将 是 企业 希望 的 ， 也 是 Internet 
服务 供应 商 期 望 获得 的 效果 。 

然而 ， 由 于 许多 企业 内 网 用 户 的 PC 在 设置 DNS 服务 器 时 ， 一 般 都 会 选择 一 个 ISP 
的 DNS 服务 器 ,而 这 个 ISP 的 DNS 服务 器 通常 也 只 会 将 用 户 请 求 的 域名 解析 成 该 ISP 的 
地 址 ， 这 样 就 会 导致 内 网 用 户 的 上 网 流量 总 体 上 都 通过 连接 这 个 ISP 的 链 路 转发 。 最 终 的 
结果 就 是 ， 这 条 ISP 链 路 拥塞 ， 而 其 他 ISP 链 路 带宽 得 不 到 充分 利用 ， 如 图 10-23 所 示 。 






110.11.11.11 


本 ISP2 的 DNS 服务 器 


ISP1 的 DNS 服务 器 、\ NA 
10.20.1.2 i 10.30.1.2 
----> DNS 请 求 
一 关上 网 流量 


IP 地 址 : 192.168.0.2 
DNS 地 址 : 10.20.1.2 


10-23 ”上 网 流量 集中 在 一 个 ISP 的 链 路 
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透明 DNS 选 路 可 以 很 好 地 解决 这 种 问题 。 它 通过 改变 企业 用 户 DNS 请 求 报 文 的 目 
的 地 址 ， 强 制 部 分 用 户 的 DNS 请 求 报 文 转向 另 一 个 ISP 的 空闲 的 DNS 服务 器 ， 这 样 就 
能 保证 部 分 用 户 的 业务 流量 从 空闲 的 链 路 转发 ， 减 轻 了 其 他 链 路 的 流量 压力 。 这 个 做 法 
很 简单 ， 效 果 也 很 好 ， 但 透明 DNS 选 路 是 如 何 实现 这 一 点 的 呢 ? 

我 们 以 USG9500 系列 防火 墙 为 例 来 说 明 透 明 DNS 选 路 的 处 理 过 程 ， 如 图 10-24 所 示 。 







ISP1 的 DNS 服务 器 KANNN 


/ ,AISP2 的 DNS 服务 器 
102012 、 六 


10.30.1.2 


(um DNS 服务 器 地 址 
10.40.1.1 


一 一 > (D DNS 请 求 
---- 和 (2) 修改 后 的 DNS 请 求 
一 --> 9) DNS 回复 


IP 地 址 : 192.168.02 -一 > (4) 上 网 流量 
DNS 地 址 : 10.40.1.1 


图 10-24 透明 DNS 选 路 处 理 过 程 


(1) 首先 ， 需 要 在 防火 墙 上 先 设置 一 个 “虚拟 DNS 服务 器 ” 同时 将 企业 内 网 用 户 
PC 上 指定 的 DNS 服务 器 改 为 虚拟 DNS 服务 器 的 地 址 。 

(2) 当 内 网 用 户 发 起 DNS 请 求 时 ， 虚 拟 DNS 服务 器 作为 中 间 人 将 会 做 点 “小 动 
作 ” 即 根据 预先 配置 的 透明 DNS 选 路 算法 将 DNS 请 求 报 文 送 往 各 个 ISP 的 DNS 服 
务 器 。 

(3) ISP 的 DNS 服务 器 收 到 DNS 请 求 后 ， 会 解析 出 域名 对 应 的 瑟 地 址 。 一 般 情况 
下 ，ISP1 的 DNS 服务 器 会 解析 出 ISP1 的 Web 服务 器 地 址 ，ISP2 的 DNS 服务 器 会 解析 
出 ISP2 的 Web 服务 器 地 址 。 防 火 墙 会 将 DNS 响应 报 文 返回 给 内 网 用 户 。 

(4) 内 网 用 户 以 DNS 服务 器 解析 出 的 Web 服务 器 地 址 为 目的 地 址 ， 对 Web 服务 器 
发 起 访问 。 这 样 内 网 用 户 的 整体 上 网 流量 就 被 均衡 地 分 配 到 各 个 ISP 链 路 。 

上 面 讲 到 的 透明 DNS 选 路 算法 有 两 种 : 简单 轮 询 算 法 和 加 权 轮 询 算 法 。 两 种 算法 
的 区 别 在 于 流量 分 配方 式 不 同 。 简 单 轮 询 算 法 是 将 DNS 请 求 报 文 依次 分 配 到 各 个 ISP 
的 DNS 服务 器 上 ， 加 权 轮 询 算法 则 是 将 DNS 请 求 报 文 按照 一 定 权 重 比 例 分 配 到 各 个 ISP 
的 DNS 服务 器 上 。 大 家 可 以 根据 实际 情况 选择 不 同 的 算法 。 
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10.5.2 ”简单 轮 询 算法 


上 面 我 们 说 过 ， 简 单 轮 询 算法 是 将 DNS 请 求 报 文 依次 分 配 到 各 个 ISP 的 DNS 服务 
器 上 ， 下 面 我 们 就 用 USG9500 系列 防火 墙 来 验证 这 种 算法 的 透明 DNS 选 路 的 效果 ， 组 
网 如 图 10-25 所 示 。 







10.11.11.11 
COM 
和 





ISP1 的 DNS 服务 器 10.1.2.2 


ISP2 的 DNS 服务 器 
10.20.1.2 10.30.1.2 
GE2/2/17 GE2/2/21 
10.1.2.1/24 < 10.1.1.1/24 
和 防火 二 
GE2/2/25 虚拟 DNS 服务 器 地 址 


192.168.0.1/24 10.40.1.1 





IP 地 址 : 192.168.0.2 
DNS 地 址 : 10.40.1.1 


10-25 ”透明 DNS 选 路 组 网 图 


防火 墙 作 为 企业 出 口 网 关 通 过 两 条 链 路 连接 到 ISP1 和 ISP2， 两 个 ISP 内 都 有 
www.example.com 这 个 服务 器 ， 通 过 ISP1 内 DNS 解析 的 地 址 为 10.10.10.10，ISP2 内 
DNS 解析 的 地 址 为 10.11.11.11。 我 们 在 防火 墙 上 配置 简单 轮 询 算法 的 透明 DNS 选 路 ， 
步骤 如 下 。 

(1) 启用 透明 DNS 选 路 功能 。 

IEW]sib enable 

(2) 配置 透明 DNS 选 路 算法 为 简单 轮 询 。 

a a 
[Wad] por doe 

Wb oro) mee Todobi 

(3) 配置 实 DNS 服务 器 。 

[FW-slb-group-1] rserver 0 rip 10.20.1.2 


[FW-slb-group-1] rserver 1 rip 10.30.1.2 
[FW-slb-group-l] quit 


(4) 配置 虚拟 DNS 服务 器 的 IP 地 址 。 
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[FW-slb] vserver 1 dns 
[FW-slb-vserver-1] vip 0 10.40.10.1 


(5) 关联 虚拟 服务 器 和 实 服务 器 组 。 
[FW-slb-vserver-1] group dns 


配置 完成 后 ， 我 们 在 内 网 PC 上 ping www.example.com， 当 ping 完成 后 ， 再 通过 
ipconfig/flushdns 命令 清除 PC 的 DNS 缓存 ， 然 后 再 ping www.example.com 这 个 网 址 ， 
连续 这 样 ping 6 次 ， 如 下 所 示 。 


Ci\Users\Administrator>ping www.example.com 


正在 Ping www.example.com [10.10.10.10] 具有 32 字 节 的 数据 : 
来 自 10.10.10.10 的 回复 : 字 节 =32 时 间 =1lms TTL=126 
来 自 10.10.10.10 的 回复 ， 字 节 =32 时 间 =lms TTL=126 
来 自 10.10.10.10 的 回复 : 字 节 =32 时 间 =lms TTL=126 
来 自 10.10.10.10 的 回复 : 字 节 =32 时 间 =lmsTTL=126 


10.10.10.10 的 Ping 的 统计 信息 : 

数据 包 ; 已 发 送 =4， 已 接收 =4， 丢 失 =0<0% 丢失 >， 
往返 行程 的 估计 时 间 < 以 毫秒 为 单位 >: 

最 短 = 1ms， 最 长 = 1ms， 平 均 = lms 


C:\Users\Administrator>ipconfig/flushdns 
Windows IP 配置 

已 成 功 刷新 DNS 解析 缓解 。 
Ci\Users\Administrator>ping www.example.com 


正在 Ping www.example.com [10.11.11.11] 具有 32 字 节 的 数据 : 
来 自 10.11.11.11 的 回复 : 字 节 =32 时 间 =lms TTL=126 
来 自 10.11.11.11 的 回复 : 字 节 =32 时 间 =lms TTL=126 
来 自 10.11.11.11 的 回复 ， 字 节 =32 时 间 =lms TTL=126 
来 自 10.11.11.11 的 回复 : 字 节 =32 时 间 =1lms TTL=126 


10.11.11.11 的 Ping 的 统计 信息 : 

数据 包 : 已 发 送 =4， 已 接收 =4， 丢 失 =0<0% 丢失 >， 
往返 行程 的 估计 时 间 < 以 毫秒 为 单位 >: 

最 短 = lms， 最 长 = Ims， 平 均 = 1ms 


完成 6 次 ping 后 ， 我 们 在 防火 墙 上 查看 会 话 表 ， 显 示 如 下 。 


[FW]display firewall session table verbose 
Current total sessions: 8 
dns VPN: public --> public 
Zone: trust -> untrust Slot: 3 CPU: 3 TTL: 00:00:30 Left: 00:00:26 
Interface: GigabitEthernet2/2/17 Nexthop: 10.1.2.2 
<--packets: 1 bytes: 75 -->packets: 1 bytes: 59 
192.168.0.2:54084 --> 10.40.1.1:53[10.20.1.2:53] 


dns VPN: public --> public 
Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:30 Left: 00:00:26 
Interface: GigabitEthernet2/2/21 Nexthop: 10.1.1.2 
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<--packets: 1 bytes: 75 -->packets: 1 bytes: 59 
192.168.0.2:49578 --> 10.40.1.1:53[10.30.1.2:53] 


dns VPN: public --> public 

Zone: trust --> untrust Slot 3 CPU: 3 TTL: 00:00:30 Left: 00:00:26 
Interface: GigabitEthernet2/2/17 Nexthop: 10.1.2.2 
<--packets: 1 bytes: 75 -->packets: 1 bytes: 59 

192.168.0.2:57834 --> 10.40.1.1:53[10.20.1.2:53] 


dns VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU; 3 TTL: 00:00:30 Left: 00:00:26 
Interface: GigabitEthernet2/2/21 Nexthop: 10.1.1.2 

<--packets: 1 bytes: 75 -->packets: 1 bytes: 59 

192.168.0.2:49928 --> 10.40.1.1:53[10.30.1.2:53] 


jicmp VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: GigabitEthernet2/2/17 Nexthop: 10.1.2.2 

<--packets: 3 bytes: 180 -->packets: 3 bytes: 180 

192.168.0.2:1 --> 10.10.10.10:2048 


dns VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:30 Left: 00:00:26 
Interface: GigabitEthernet2/2/17 Nexthop: 10.1.2.2 

<--packets: 1 bytes: 75 -->packets: 1 bytes: 59 

192.168.0.2:57437 --> 10.40.1.1:53[10.20.1.2:53] 


iemp VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU; 3 TTL: 00:00:20 Left: 00:00:19 
Interface: GigabitEthernet2/2/21 Nexthop: 10.1.1.2 
<--packets: 3 bytes: 180 -->packets: 3 bytes: 180 

192.168.0.2:768 --> 10.11.11.11:2048 


dns VPN: public --> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:30 Left: 00:00:26 
Interface: GigabitEthernet2/2/21 Nexthop: 10.1.1.2 

<--packets: 1 bytes: 75 -->packets: 1 bytes: 59 

192.168.0.2:51441 --> 10.40.1.1:53[10.30.1.2:53] 


显示 信息 中 ，6 条 DNS 会 话 ， 其 中 3 条 将 DNS 请 求 地 址 转化 为 10.20.1.2， 另 外 3 
条 转化 为 10.30.1.2。 同 时 有 两 条 icmp 会 话 , 一 条 是 访问 10.10.10.10 这 个 地 址 , 从 GE2/2/17 
接口 转发 ， 另 一 条 是 访问 10.11.11.11， 从 GE2/2/21 接口 进行 转发 。 说 明 用 户 的 DNS 请 
求 报 文 是 依次 被 分 配 到 两 个 ISP 的 DNS 服务 器 上 , 且 两 条 出 口 链 路 都 有 访问 流量 , 与 上 
面 简单 轮 询 算 法 原理 相符 合 。 

简单 轮 询 算法 只 能 平均 地 将 DNS 请 求 报 文 分 配 到 各 个 ISP 的 DNS 服务 器 上 ， 无 法 
更 精确 控制 链 路 流量 的 分 配 , 为 此 , 我 们 增加 了 加 权 轮 询 算法 来 完成 更 精确 的 流量 控制 。 


10.5.3 ”加 权 轮 询 算 法 


加 权 轮 询 算法 是 通过 设置 权重 值 的 方式 来 完成 DNS 请 求 报 文 的 分 配 , 各 ISP 的 DNS 
服务 器 分 配 到 的 DNS 请 求 报 文 的 多 少 是 按照 设置 权重 值 的 比例 来 分 配 的 。 我 们 还 是 以 
图 10-25 为 例 , 只 是 在 防火 墙 上 设置 ISP1 内 的 DNS 服务 器 获得 DNS 请 求 报 文 的 权重 值 


440 华为 防火 墙 技术 漫谈 


为 10，ISP2 内 DNS 服务 器 获得 DNS 请 求 报 文 的 权重 值 为 5， 按照 规划 从 内 网 送 到 防火 
墙 的 DNS 请 求 报 文 将 以 2:1 的 比例 分 配 到 ISP1 和 ISP2 内 的 DNS 服务 器 上 。 以 USG9500 
系列 防火 墙 为 例 ， 加 权 轮 询 算 法 配置 如 下 。 

(1) 启用 透明 DNS 选 路 功能 。 





(2) 配置 透明 DNS 选 路 算法 为 简单 轮 询 。 












(3) 配置 实 DNS 服务 器 。 





(4) 配置 虚拟 DNS 服务 器 的 了 P 地 址 。 


(5) 关联 虚拟 服务 器 和 实 服务 器 组 。 





配置 完成 后 ， 我 们 还 是 按照 上 面 那 种 方式 ， 连 续 ping www.example.com 6 次 ， 在 防 
火 墙 上 查看 会 话 表 显示 如 下 
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iemp VPN: public -> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:20 Left: 00:00:19 
Interface: GigabitEthernet2/2/17 Nexthop: 10.1.2.2 

<--packets: 4 bytes: 240 -->packets: 4 bytes: 240 

192.168.0.2:1 --> 10.10.10.10:2048 

dns VPN: public --> public 

Zone: trust -> untrust Slot: 3 CPU: 3 TTL: 00:00:30 Left: 00:00:26 
Interface: GigabitEthernet2/2/21 Nexthop: 10.1.1.2 

<--packets: 1 bytes: 75 -->packets: 1 bytes: 59 

192.168.0.2:49668 --> 10.40.1.1:53[10.30.1.2:53] 


icmp VPN: public --> public 

Zonel trust --> untrust Slot: 3 CPU; 3 TTL: 00:00:20 Left: 00:00:19 

Interface: GigabitEthernet2/2/21 Nexthop: 10.1.1.2 

<--packets: 3 bytes: 180 -->packets: 3 bytes: 180 

192.168.0.2:1 --> 10.11.11.11:2048 

dns VPN: public -> public 

Zone: trust --> untrust Slot: 3 CPU: 3 TTL: 00:00:30 Left: 00:00:26 

Interface: GigabitEthernet2/2/ 17 Nexthop: 10.1.2.2 

<--packets: 1 bytes: 75 -->packets: 1 bytes: 59 

192.168.0.2:58616 --> 10.40.1.1:53[10.20.1.2:53] 

显示 信息 中 有 4 条 DNS 会 话 将 DNS 请 求 地 址 转换 为 10.20.1.2, 2 条 将 DNS 请 求 地 
址 转换 为 10.30.1.2， 与 设置 权重 值 的 比例 2:1 相符 合 。 而 且 从 GE2/2/17 接口 转发 到 
10.10.10.10 的 流量 是 从 GE2/2/21 接口 转发 到 10.11.11.11 的 流量 的 两 倍 。 所 以 ， 加 权 轮 
询 算法 让 网 络 管理 员 可 以 根据 链 路 带宽 的 差异 设置 不 同 的 权重 值 ， 让 带宽 大 的 链 路 承担 
更 多 的 流量 ， 保 证 每 条 链 路 的 带宽 得 到 更 充分 的 利用 。 

透明 DNS 选 路 是 根据 DNS 解析 的 地 址 引导 流量 选择 转发 链 路 ， 这 种 新 思路 解决 了 
企业 用 户 对 同一 服务 器 在 多 个 ISP 内 部 署 不 能 进行 负载 访问 的 问题 ， 填 补 了 防火 墙 出 口 
选 路 的 缺失 之 处 。 

至 此 ， 防 火 墙 出 口 选 路 章节 收 官 结束 ， 出 口 选 路 一 章 实际 上 是 对 4 种 选 路 功能 的 讲 
解 。 然 而 ， 现 网 场景 中 防火 墙 的 出 口 选 路 牵涉 到 的 内 容 还 有 很 多 ， 比 如 网 络 中 路 由 的 规 
划 ， 双 机 热 备 场景 下 主 备 设备 上 的 流量 规划 等 ， 都 是 管理 员 需 要 考虑 的 问题 。 对 此 我 们 
不 在 本 章 中 做 过 多 介绍 ， 将 通过 本 书 实 战 篇 中 的 综合 案例 分 析 帮 助 大 家 理解 。 

另外 ， 本 篇 中 我 们 始终 都 没有 提 及 NAT 多 出 口 场景 下 的 选 路 方案 。 其 实 ，NAT 多 
出 口 场景 下 的 选 路 原理 和 配置 跟 本 篇 完全 一 样 , 唯一 不 同 的 是 面临 选 路 的 流量 为 NAT 地 
址 转换 后 的 流量 。 从 防火 墙 转发 流程 来 看 ， 选 路 是 在 NAT 策略 之 前 完成 的 ， 所 以 熟悉 了 
本 章 的 选 路 知识 ，NAT 场景 中 的 选 路 问题 也 能 迎刃而解 。 





强 叔 提问 

1. ISP 路 由 与 静态 路 由 有 什么 区 别 ? 

2， 当 有 多 条 策略 路 由 规则 时 ， 防 火 墙 会 按照 什么 样 的 规则 对 报 文 进行 匹配 ? 
3. 配置 智能 选 路 的 前 提 条 件 是 什么 ? 

4. 透明 DNS 选 路 有 哪 两 种 算法 ， 它 们 之 间 的 区 别 是 什么 ? 





实战 篇 
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11.1 组 网 需求 


如 图 11-1 所 示 ， 防 火 墙 (USG9560 V300R001C20 版 本 ) 作为 网 关 部 署 在 学 校 网 络 
出 口 , 为 校内 用 户 提 供 宽带 服务 , 为 校外 用 户 提供 服务 器 访问 服务 。 学 校 从 ISP1 和 ISP2 
分 别 租用 了 1G 带宽 的 链 路 ， 从 教育 网 申请 了 10G 带宽 的 链 路 。 











218.1.1.2/30 


GE2/0/0 
218.1.1.1/30 











172.16.1.2/30 Bam 200.1.1.2/30 专 -3 


GE1/03 BIg GE1/0/1 
172.16.1.1/30 sD 200.1.1.1/30 


GE1/0/2 
202.1.1.1/30 
图 书馆 服务 器 .< 

10.1.10.10 


_1_> 日 志 服务 器 
! P10.1.10.30 


Se 


服务 器 202.1.1.2/30 
10.1.10.0/24 
DNS 服务 器 
10.1.10.20 
图 11-1 校园 网 络 出 口 组 网 图 
学 校 的 具体 需求 如 下 。 


(1) 为 了 保证 内 网 用 户 的 上 网 体验 ， 学 校 希望 去 往 特定 目的 地 址 的 流量 能 够 通过 特 
定 的 ISP 链 路 转发 。 例 如 ， 去 往 ISP1 的 服务 器 的 流量 能 够 通过 ISP1 提供 的 链 路 转发 ， 
去 往 ISP2 的 服务 器 的 流量 能 够 通过 ISP2 提供 的 链 路 转发 ， 去 往 教育 网 服务 器 的 流量 能 
够 通过 教育 网 链 路 转发 。 

另外 ， 学 校 希望 特殊 内 网 用 户 的 流量 能 够 通过 特定 的 ISP 链 路 转发 。 例 如 图 书馆 用 
户 的 上 网 流量 能 够 通过 教育 网 链 路 转发 。 

(2) 学 校内 部 署 了 提供 对 外 访问 的 服务 器 ， 供 多 个 ISP 的 用 户 访问 ， 例 如 学 校 网 站 
主页 、 邮 件 、Portal 等 服务 器 。 

学 校内 还 部 署 了 DNS 服务 器 为 以 上 服务 器 提供 域名 解析 。 学 校 希 望 各 ISP 的 外 网 用 
户 通过 域名 访问 服务 器 时 ， 能 够 解析 到 自己 ISP 的 地 址 ， 从 而 提高 访问 服务 器 的 速度 。 

(3) 学 校 希 望 防火 墙 能 够 保护 内 部 网 络 ， 防 止 SYN Flood 攻击 ， 并 对 网 络 入 侵 行 为 
进行 告警 。 

(4) 由 于 ISP1 和 IPS2 链 路 带宽 有 限 ， 所 以 学 校 希 望 限制 ISP1 和 ISP2 链 路 的 P2P 
流量 ， 包 括 每 个 用 户 的 P2P 流量 ， 以 及 链 路 总 体 的 P2P 流量 。 

(5) 学 校 希望 能 够 在 网 管 系统 上 查看 攻击 防范 和 入 侵 检 测 的 日 志 ， 并 且 能 够 查看 
NAT 转换 前 后 的 卫 地 址 。 


第 11 章 ”防火墙 在 校园 网 中 的 应 用 447 


11.2 ” 强 叔 规划 


11.2.1 ”多 出 口 选 路 规划 


1. ISP 选 路 

为 了 实现 去 往 特定 目的 地 址 的 流量 能 够 通过 特定 的 ISP 链 路 转发 ， 我 们 需要 在 防火 
墙 上 部 团 ISP 选 路 功能 。 防 火 墙 内 置 主流 ISP 的 地 址 文件 ， 而 且 我 们 还 可 以 根据 需求 手 
动 创建 和 调整 ISP 地 址 文件 。 在 配置 ISP 选 路 时 还 可 以 与 IP-Link 功能 配合 ， 以 探测 ISP 
链 路 是 否 能 够 正常 工作 。 

另外 由 于 教育 网 链 路 带宽 较 大 ， 我 们 可 以 将 缺 省 路 由 的 下 一 跳 设 置 为 教育 网 链 路 地 
址 ， 保 证 未 匹配 其 他 路 由 的 流量 都 能 够 通过 教育 网 转发 出 去 。 

2. 策略 路 由 

为 了 实现 特殊 内 网 用 户 的 流量 能 够 通过 特定 的 ISP 链 路 转发 ， 我 们 需要 在 防火 墙 上 
配置 策略 路 由 功能 。 

本 案例 的 防火 墙 通过 流 分 类 、 流 行为 和 流量 策略 来 实现 策略 路 由 功能 。 这 里 仅 以 图 
书馆 用 户 的 上 网 流量 能 够 通过 教育 网 链 路 转发 为 例 。 我 们 需要 在 流 分 类 中 匹配 图 书馆 上 
网 用 户 的 主机 地 址 ， 在 流行 为 中 定义 教育 网 链 路 为 下 一 跳 ， 最 后 在 流量 策略 中 将 类 信息 
和 行为 信息 关联 。 


11.2.2 ”安全 规划 


1. 安全 区 域 
在 本 案例 中 防火 墙 上 有 4 个 接口 ， 由 于 这 4 个 接口 连接 不 同 的 区 域 ， 因 此 我 们 需要 
将 这 4 个 接口 加 入 不 同 的 安全 区 域 。 
e 连接 ISP1 链 路 的 接口 GE1/0/1 加 入 区 域 isp1。ispl 区 域 需要 新 建 ， 优 先 级 设 定 为 10。 
。 连接 ISP2 链 路 的 接口 GE1/0/2 加 入 isp2 区 域 。isp2 区 域 需要 新 建 ， 优 先 级 设 定 为 15。 
e 连接 教育 网 链 路 的 接口 GE2/0/0 加 入 cernet 区 域 。cernet 区 域 需 要 新 建 ， 优 先 级 
设 定 为 25。 
。 连接 交换 机 的 接口 GE1/0/3 加 入 trust 区 域 。trust 区 域 是 防火 墙 缺 省 存在 的 安全 
区 域 ， 优 先 级 为 85。 
2. 安全 策略 
为 了 实现 各 个 区 域 间 的 安全 互通 以 及 访问 控制 ， 我 们 需要 部 署 以 下 安全 策略 。 
。 允许 trust 区 域 的 内 网 用 户 访问 isp1、isp2 和 cernet 区 域 。 
。 人 允许 cernet、ispl 和 isp2 区 域 的 外 网 用 户 访 问 trust 区 域 的 特定 服务 器 的 特定 端口 。 
这 里 仅 以 图 书馆 服务 器 (开放 http 和 ftp 服务 ) 和 DNS 服务 器 为 例 。 
。 允许 防火 墙 (local 区域 ) 与 trust 区 域 的 日 志 服 务 器 对 接 。 
同时 为 了 保证 以 上 区 域 间 多 通道 协议 (如 FTP) 的 正常 通信 ， 我 们 还 需要 在 以 上 各 
区 域 间 配 置 ASPF 功能 。 
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[0 说 明 
防火 墙 缺 省 安全 策略 的 动作 为 禁止 ， 所 以 未 匹配 上 述 安 全 策略 的 流量 都 将 禁止 在 区 域 
间 通 过 。 


3. IPS 

为 了 防止 僵尸 木马 蠕虫 的 入 侵 ， 需 要 在 防火 墙 上 部 署 PS 功能 。 防 火 墙 IPS 功能 实 
现 的 方式 是 在 配置 安全 策略 时 引用 IPS 配置 文件 。 在 本 案例 中 ， 我 们 需要 在 上 述 配置 的 
安全 策略 (local 区 域 的 除外 ) 中 都 引用 IPS 配置 文件 ， 即 对 安全 策略 允许 通过 的 流量 都 
进行 IPS 检测 。 

本 案例 使 用 缺 省 的 IPS 配置 文件 ias， 即 只 对 入 侵 报 文 产 生 告 警 ,不 阻 断 。 如 果 对 安 
全 性 要 求 不 是 很 高 ， 为 了 降低 IPS 误 报 的 风险 ， 建 议 选择 ids 配置 文件 。 如 果 对 安全 性 
要 求 较 高 ， 建 议 选择 缺 省 的 IPS 配置 文件 default， 即 会 阻 断 入 侵 行为 。 

4. 攻击 防范 

为 了 避免 内 网 服务 器 和 用 户 受到 网 络 攻 击 ， 一般 建 议 开 启 SYN Flood 攻击 防范 和 一 
些 单 包 攻 击 防范 功能 。 


11.2.3 _ NAT 规划 


1. 源 NAT 

为 了 保证 内 网 大 量 用 户 能 够 通过 有 限 的 公 网 地 址 访问 外 网 ， 需 要 在 防火 墙 上 部 署 源 
NAT 功能 。 内 网 用 户 访问 外 网 的 报 文 到 达 防 火 墙 后 ， 报 文 的 源 地 址 会 被 NAT 转换 成 公 
网 地 址 ， 源 端口 会 被 NAT 转换 成 随机 的 非 知 名 端口 。 这 样 一 个 公 网 地 址 就 可 以 同时 被 多 
个 内 网 用 户 使 用 ， 实 现 了 公 网 地 址 的 复 用 ， 解 决 了 大 量 用 户 同 时 访问 外 网 的 问题 。 

2. NAT Server 

为 了 将 服务 器 提供 给 各 个 ISP 的 用 户 访问 ,我 们 需要 在 防火 墙 上 部 署 NAT server 功 
能 ， 将 服务 器 的 私 网 地 址 转换 成 公 网 地 址 ， 而 且 需 要 为 不 同 的 ISP 用 户 提供 不 同 的 公 网 
地 址 。 

用 户 一 般 是 通过 域名 来 访问 内 网 服务 器 的 ， 服 务 器 区 域 部 署 了 DNS 服务 器 为 用 户 
将 域名 解析 成 内 网 服务 器 的 公 网 地 址 。 通 过 在 防火 墙 上 部 署 智能 DNS 功能 ， 可 以 实现 
ISP1 的 用 户 能 够 解析 到 ISP1 的 地 址 ，ISP2 的 用 户 能 够 解析 到 ISP2 的 地 址 ， 教 育 网 的 用 
户 能 够 解析 到 教育 网 的 地 址 。 这 样 各 ISP 的 用 户 就 能 够 通过 自身 的 ISP 网 络 访问 学 校 的 
服务 器 ， 从 而 保证 用 户 访问 延迟 最 小 ， 业 务 体验 最 优 。 

3. NAT ALG 

当 防 火 墙 既 开 启 NAT 功能 ， 又 需要 转发 多 通道 协议 报 文 (例如 FTP 等 ) 时 ， 必 须 
开启 相应 的 NAT ALG 功能 。 本 案例 主要 应 用 了 FTP、SIP、H323、MGCP、RTSP 和 QQ 
等 多 通道 协议 ， 所 以 需要 开启 这 几 种 协议 的 NAT ALG 功能 。 


[0 说 明 


NAT ALG 与 ASPF 虽然 实现 原理 和 作用 不 同 ， 但 配置 命令 相同 。 
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11.2.4 ”带宽 管理 规划 


为 了 限制 ISP1 和 ISP2 链 路 的 P2P 流量 ， 我 们 需要 通过 部 署 带 宽 管理 功能 来 实现 基 
于 应 用 的 流量 控制 。 

本 案例 中 的 防火 墙 通过 带宽 通道 、 带 宽 策 略 来 实现 带宽 管理 功能 。 

。 带宽 通道 定义 了 被 管理 的 对 象 所 能 够 使 用 的 带宽 资源 ， 带 宽 通 道 被 带宽 策略 引 
用 。 在 本 案例 中 带宽 通道 配置 为 限制 总 带宽 不 能 超过 300M， 限 制 每 个 卫 的 带 
宽 不 超过 1M。 

。 带宽 策略 定义 了 被 管理 的 对 象 和 动作 , 并 引用 带宽 通道 。 在 本 案例 中 带宽 策略 定 
义 的 对 象 为 P2P 流量 ， 动 作为 限 流 ， 并 引用 上 面 配 置 的 带宽 通道 。 这 样 带宽 策 
略 就 能 实现 对 P2P 流量 的 限制 。 


11.2.5 ”网 络 管理 规划 
防火 墙 配 套 eSight 日 志 服 务 器 可 以 进行 日 志 的 收集 、 查 询 、 报 表 呈 现 ， 通 过 防火 墙 


输出 的 会 话 日 志 可 以 查询 到 NAT 转换 前 后 的 地 址 信息 , 通过 防火 墙 输出 的 IPS 日 志和 攻 
击 防范 系统 日 志 可 以 查看 网 络 中 的 攻击 行为 和 入 侵 行为 。 


11.3 ”配置 步骤 


步骤 1 配置 接口 的 全 地 址 ， 并 将 接口 加 入 安全 区 域 。 

# 配置 各 接口 的 了 P 地 址 。 

【 强 叔 点 评 】 一 般 ISP 分 配 的 人 P 地 址 都 是 30 位 掩 码 的 。 建 议 在 接口 上 配置 描述 或 别 
表示 接口 的 情况 。 


和 名， 





[FEW-GigabitEthemetl/0/3] ip address 172.16.1.1 255.255.255.252 
[PWGigabitB temnetl /0/3] deacription Campus 
~ [FW-GigabitEthemet1l/0/3] quit 
# 新 建安 全 区 域 isp1、isp2 和 cernet (代表 教 育 网 )， 并 将 各 接口 加 入 对 应 的 安全 区 域 。 
【 强 叔 点 评 】 当 防火 墙 需要 连接 多 个 ISP 时 , 一般 需要 为 每 个 连接 ISP 的 接口 都 创建 
一 个 新 的 安全 区 域 ， 而 且 安 全 区 域 的 名 称 最 好 能 够 代表 此 安全 区 域 。 
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[EW] firewall zone name ispl ， 
De set Ian 15 





[FW- zone us anit 


2 卫生 TPL, 欣 测 各 1 ISP ?提供 的 链 中 关 太 是 于 正常 常 。 





[FW] ip- 1.1,2 interface GigabitEthernet1/0/2 | ， - 

【强权 点 点评 】 当 JP-Link 监控 的 链 路 故障 时 ， 与 其 绑 定 的 静态 路 由 或 策略 路 由 失效 。 

步骤 3 配置 静态 路 由 ， 保 证 基础 路 由 可 达 。 

# 配置 缺 省 路 由 ， 下 一 跳 为 教育 网 的 地 址 ， 保 证 未 匹配 其 他 路 由 的 流量 都 能 够 通过 
教育 网 转发 出 去 。 

~ [FW] ip route-static 0.0.0.0 0.0.0.0 218,1.1.2 02022002” > we 

# 配置 静态 路 由 ， 目的 地 址 为 内 网 网 段 下 一 卡 为 内 网 交换 机 的 地 址 ， 保证 外 网 的 
流量 能 够 到 达 内 网 。 

[FW] ip route-static 10.1.0.0 255.255.0.0 172.16.1.2 

【 强 叔 点 评 】 当 在 网 关上 配置 静态 路 由 时 ， 既 要 有 出 方向 的 路 由 ， 也 要 和 为 志 可 的 
路 由 。 一 般 情 况 下 ， 出 方向 都 会 至 少 配置 一 条 缺 省 路 由 。 

步骤 4 配置 ISP 选 路 功能 。 

(1) 从 各 ISP 获取 最 新 的 目的 地 址 明细 。 

(2) 按 如 下 格式 分 别 编辑 各 ISP 的 csv 文件 。 下 图 仅 供 参 考 ， 有 具体 以 当地 ISP 提供 
的 地 址 为 准 。 











目的 IP 范 围 (Destination IP Range) 
1,184.0,0-1,185. 255..255 
58. 116, 0. 0-58. 119. 255. 255 
;58.128. 0. 0-58.135, 255. 255 
:58. 154. 0. 0-58. 155, 255. 255 
‘58. 192. 0. 0-58. 207. 255. 255 ， 
:59.. 64. 0. 0-59. 79. 255.255 
110. 64. 0. 0-110. 65. 255. 255 | 
111.114. 0. 0-111. 117, 255. 255 
111.186.0,0-111.187, 255.255 
113. 54. 0. 0-113. 55. 255. 255 
4 212.0.0-114, 214. 255. 255 
FE 115, 24..0. 0-115. 27, 255. 255 
115, 154. 0. 0-115, 158. 255. 255 
EE i116, 13. 0. 0-116. 13, 255. 255 
{ 116. 56. 0. 0-116. 57. 255. 255 
117. 106. 0. 0-117. 107, 255. 255 
117. 112. 0. 0-117. 119. 255. 255 
118. 202. 0. 0-118. 203. 255. 255 
118, 228. 0. 0-118. 230. 255. 255 
120. 94, 0. 0-120. 95. 255. 255 
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(3) 导入 所 有 ISP 的 csv 文件 。 
(4) 执行 以 下 命令 ,分 别 加 载 各 ISP 的 csv 文件 ， 并 指定 下 一 跳 。 


[FEW] isp set filename cernet.csv GigabitEthernet 2/0/0 next-hop 218.1.1.2 track ip-link 1 
[FW)] isp set filename ispl.csy GigabitEthernet 1/0/1 next-hop 200.1.1.2 track ip-link 2 
[FW] isp set filename isp2.csv GigabitEthernet 1/0/2 next-hop 202.1.1.2 track ip-link 3 


【 强 叔 点 评 】ISP 选 路 功能 其 实 就 是 批量 下 发 明细 路 由 ， 目 的 地 址 为 ISP 文件 中 的 地 
址 ， 下 一 跳 为 配置 命令 指定 的 地 址 。ISP 选 路 能 够 实现 去 往 特 定 ISP 目的 地 址 的 流量 都 
通过 对 应 的 ISP 链 路 转发 。 

步 又 5 配置 策略 路 由 , 保证 特定 内 网 用 户 (IP 地 址 ) 的 流量 能 够 通过 特定 链 路 ( 接 
口 ) 转发 。 

【 强 叔 点 评 】 策 略 路 由 的 作用 是 基于 源 卫 地 址 的 选 路 (当然 通过 高 级 ACL 也 能 实现 
基于 目的 地 址 的 选 路 )。 例 如 图 书馆 的 上 网 用 户 〈10.1.2.0/24 网 段 ) 只 能 通过 教育 网 访问 
Internet。 策 略 路 由 的 配置 方 二 是 下 为 经 具 的 CB 对 (classifier ba behavior 配对 ) pani 


{FW] acl number 2000 和 
[FW-acl-basic-2000] rule permit source 10.1.2, 0 0.0.0.255 
[FW-acl-basic-2000] quit 
[FW] traffic classifier classlb 
[FW-classifier-classlb] if-match acl 2000 
{FW-classifier-classlb] quit 
[FW] traffic behavior behaviorlb 
{FW-behavior-behaviorlb] redirect ip-nexthop 218.1.1.2 interface GigabitEthernet 2/010 track ip-link 1 
[FW-behavior-behaviorlb] quit 
[FW] traffic policy policylb 
[FW-trafficpolicy-policylb] classifier classlb behavior behaviorlb 
[FW-trafficpolicy-policylb] quit 
[FW] interface GigabitEthernet 1/0/3 
[FW-GigabitEthernet1/0/3] traffic-policy policylb inbound 
[FW-GigabitEthernet1/0/3] quit 


步骤 6 配置 安全 策略 和 IPS， 保 证 流量 能 够 正常 转发 的 同时 ， 进 行 入 侵 行 为 检测 。 
# 配置 trust 与 ispl 区 域 间 出 方向 的 安全 策略 ， 人 允许 内 网 用 户 通过 ISP1 访问 外 网 。 
在 配置 安全 策略 时 引用 缺 省 的 配置 文件 its， 进 行 入 侵 行为 检测 。 
[FW] policy interzone trust ispl outbound 
[FW-policy-interzone-trust-ispl-outbound] policy 0 
企 W-policy-interzone-trust-isp1-outbound-0] action permit 
[FW-policy-interzone-trust-ispl-outbound-0] profile ips ids 
[FEW-policy-interzone-trustrisp1-outbound-0] guit 
[FW-policy-interzone-trust-isp1-outbound] quit 
# 配置 trust 与 ispl 区 域 间 入 方向 的 安全 策略 ， 允许 外 网 用 户 通过 ISP1 访问 内 网 的 
图 书馆 服务 器 (开放 http 和 ftp 服务 ) 和 DNS 服务 器 。 在 配置 安全 策略 时 引用 缺 省 的 配 
置 文件 ids， 进 行 入 侵 行为 检测 。 
{FW) policy interzone trust ispl inbound 
[FW-policy-interzone-trust-ispl-inbound] policy 0 
{FW-policy-interzone-trust-ispl-inbound-0] policy destination 10.1.10.10 0.0.0.0 
{FW-policy-interzone-trust-ispl-inbound-0] policy service service-set http ftp 
[FW-policy-interzone-trust-ispl-inbound-0] action permit 
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[FW-policy-interzone-trust-ispl-inbound-0] profile ips ids 
[FW-policy-interzone-trust-ispl-inbound-0] quit 
[FW-policy-interzone-trust-ispl-inbound] policy 1 
[FW-policy-interzone-trust-ispl-inbound-1] policy destination 10.1.10.20 0.0.0.0 
[FW-policy-interzone-trust-ispl-inbound-1] policy service service-set dns 
[FW-policy-interzone-trust-ispl-inbound-1] action permit 
[FW-policy-interzone-trust-ispl-inbound-1] profile ips ids 
[FW-policy-interzone-trust-ispl-inbound-1] quit 
[FW-=policy-interzone-trust-ispl-inbound] quit 


# 配置 trust 与 isp2 区 域 间 出 方向 的 安全 策略 ， 人 允许 内 网 用 户 通过 ISP2 访问 外 网 。 
在 配置 安全 策略 时 引用 缺 省 的 配置 文件 ids， 进 行 入侵 行为 检测 。 


[FWI] policy interzone trust isp2 outbound 
[FW-policy-interzone-trust-isp2-outbound] policy 0 
[FW-policy-interzone-trust-isp2-outbound-0] action permit 
[FW-policy-interzone-trust-isp2-outbound-0] profile ips ids 
[FW-policy-interzone-trust-isp2-outbound-0] quit 
[FW-policy-interzone-trust-isp2-outbound] quit 


# 配置 trust 与 isp2 区 域 间 入 方向 的 安全 策略 ， 人 允许 外 网 用 户 通过 ISP2 访问 内 网 的 
图 书馆 服务 器 (开放 http 和 ftp 服务 ) 和 DNS 服务 器 。 在 配置 安全 策略 时 引用 缺 省 的 配 
置 文件 ids， 进 行 入 侵 行为 检测 。 


[FW] policy interzone trust isp2 inbound 
[FW-policy-interzone-trust-isp2-inbound] policy 0 
[FW-policy-interzone-trust-isp2-inbound-0] policy destination 10.1.10.10 0.0.0.0 
[FW-policy-interzone-trust-isp2-inbound-0] policy service service-set http ftp 
[FW-policy-interzone-trust-isp2-inbound-0] action permit 
[FW-policy-interzone-trust-isp2-inbound-0] profile ips ids 
EW-policy-interzone-trust-isp2-inbound-0] quit 
[FW-policy-interzone-trust-isp2-inbound] policy 1 
[FW-policy-interzone-trust-isp2-inbound-1] policy destination 10.1.10.20 0.0.0.0 
[FW-policy-interzone-trust-isp2-inbound-1] policy service service-set dns 
[EW-policy-interzone-trust-isp2-inbound-1] action permit 
[FW-policy-interzone-trust-isp2-inbound-1] profile ips ids 
[FW-policy-interzone-trust-isp2-inbound-1] quit 
[FW-policy-interzone-trust-isp2-inbound] quit 
# 配置 trust 与 cernet 区域 间 出 方向 的 安全 策略 , 允许 内 网 用 户 通过 教育 网 访问 外 网 。 
在 配置 安全 策略 时 引用 缺 省 的 配置 文件 ids， 进 行 入 侵 行为 检测 。 
[下 W] policy interzone trust cernet outbound 
[FW-policy-interzone-trust-cernet-outbound] policy 0 
[FW-policy-interzone-trust-cernet-outbound-0] action permit 
[FW-policy-interzone-trust-cernet-outbound-0] profile ips ids 
[FW-policy-interzone-trust-cemet-outbound-0] quit 
[FW-policy-interzone-trust-cermnet-outbound] quit 
# 配置 trust 与 cernet 区 域 间 入 方向 的 安全 策略 ,允许 外 网 用 户 通 过 教育 网 访问 内 网 
的 图 书馆 服务 器 (开放 http 和 ftp 服务 ) 和 DNS 服务 器 。 在 配置 安全 策略 时 引用 缺 省 的 
配置 文件 ids， 进 行 入 侵 行为 检测 。 
[FW] policy interzone trust cernet inbound 


[FW-policy-interzone-trust-cernet-inbound] policy 0 
[FW-policy-interzone-trust-cernet-inbound-0] policy destination 10.1.10.10 0.0.0.0 
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[FW-policy-interzone-trust-cemet-inbound-0] policy service service-set http ftp 
[FW-policy-interzone-trust-cernet-inbound-0] action permit 
[FW-policy-interzone-trust-cernet-inbound-0] profile ips ids 
[FW-policy-interzone-trust-cernet-inbound-0] quit 
[FW-policy-interzone-trust-cemet-inbound] policy 1 
[FW-policy-interzone-trust-cernet-inbound-1] policy destination 10.1.10.20 0.0.0.0 
[FW-policy-interzone-trust-cernet-inbound-1] policy service service-set dns 
[FW-policy-interzone-trust-cernet-inbound-1] action permit 
[FW-policy-interzone-trust-cernet-inbound-1] profile ips ids 
{FW-policy-interzone-trust-cermet-inbound-1] quit 
[FW-policy-interzone-trust-cernet-inbound] quit 


# 配置 local 与 trust 区 域 间 出 方向 和 入 方向 的 安全 策略 ， 人 允许 防火 墙 与 日 志 服 务 器 
对 接 。 


[FW] policy interzone local trust outbound 

[FW-policy-interzone-local-trust-outbound] poliecy0 

[FW-policy-interzone-local-trust-outbound-0] policy destination 10.1.10.30 0.0.0.0 

[FW-policy-interzone-local-trust-outbound-0] action permit 

{FW-policy-interzone-local-trust-outbound-0] quit 

[FW-policy-interzone-local-trust-outbound] quit 

[FW] policy interzone local trust inbound 

[FW-policy-interzone-local-trust-inbound] policy 0 

[FW-policy-interzone-local-trust-inbound-0] policy source 10.1.10.30 0.0.0.0 

[FW-policy-interzone-local-trust-inbound-0] action permit 

{FW-policy-interzone-local-trust-inbound-0] quit 

[FW-policy-interzone-local-trust-inbound] quit 

【 强 叔 点 评 】 当 防火 墙 作 网 关 且 网 络 对 安全 性 要 求 不 高 时 ， 可 以 配置 域 间 的 安全 策 
略 动 作为 允许 。 通 过 在 安全 策略 上 引用 入 侵 防 御 配 置 文件 可 以 实现 安全 区 域 间 流 量 的 入 
侵 防 御 。 防 火 墙 缺 省 存在 配置 文件 default 和 ids。 配置 文件 default 用 于 入 侵 行为 检测 并 
阻 断 ， 配 置 文件 ids 用 于 入 侵 行 为 检测 并 告警 〈 不 阻 断 )。 

# 启 用 IPS 功能 ， 并 配置 特征 库 定 时 在 线 升级 。 

- [FW] ips enable 

[FW] update schedule ips-sdb enable 

[FW] update schedule weekly sun 02:00 

[FW] update schedule sa-sdb enable 

[FW] update schedule weekly sun 03:00 


[FW] undo update confirm ips-sdb enable 
[FW] undo update confirm sa-sdb enable 


# 配置 防火 墙 的 DNS 服务 器 地 址 ， 使 防火 墙 能 够 通过 域名 访问 安全 中 心平 台 ， 下 
载 特征 库 。 

[FW] dns resolve 

[FW] dns server 202.106.0.20 


步骤 7 配置 源 NAT， 保 证 多 个 内 网 用 户 能 够 同时 访问 外 网 。 

# 在 trust 与 ispl 区 域 间 配置 源 NAT。NAT 地 址 池 中 的 地 址 是 从 ISP1 获取 的 。 
[FW] nat address-group ispl 

[FW-address-group-ispl] mode pat 

[FW-address-group-isp1] section 200.1.1.3 200.1.1.5 

[FW-address-group-isp1] quit 
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[FW] nat-policy interzone trust ispl outbound 
[FW-nat-policy-interzone-trust-ispl-outbound] policy 0 

[FW nat-policy-interzone-trust-isp1 -outbound-0] action source-nat 
[FW-nat-policy-interzone-trust-ispl-outbound-0] address-groupispl 、 


# 在 trust 与 isp2 区 堪 间 避 涯 源 NAT。NAT 二 下 的 地 址 是 从 ISP2 获取 的 。 


| [FW] nat address-group isp2 

[FEW-address-group-isp2] modepat 

EY address-group-isp2] section DS 202. 1.1 3 

~ [FW-address-group-isp2] quit 

[FW] nat-policy interzone trust I outbonnd 
[FW-nat-policy-interzone-trust-isp2-outbound] policy0 
[FW-nat-policy-interzone-trust-isp2-outbound-0] action source-nat 
[FW-nat-policy-interzone-trust-isp2-outbound-0] address-group Boa 


# 在 trust 与 cernet 区 域 间 配置 源 NAT。NAT 地 址 初中 的 地 址 是 从 教育 网 区 了 的， 


， [FW] nat address-group cernet 和 
EW be -group-cemet] modepat 

[Ew -group-cernet] section 218.1. 13218.11.5 
，， we mn ， 

[FW] nat-policy interzone trust cernet vm | 

- [FEW-nat-policy- interzone-trust-cemet-outbound] policy 0 : | 
[FW-nat-policy-interzone-trust-cemet- -outbound-0] action source-nat 
‘ [FW-nat-policy-interzone-trust-cemet-outbound-0] address-group cernet 


# 配置 黑洞 路 由 ， 将 NAT 地 址 池 中 的 公 网 地 址 都 发 布 出 去 。 


A [FW]ip route-static 200.1.1.332NULLO -| 
~ [FW]ip route-statie 200.1.1.432 NULLO 
[FW]ip route-static 200.1.1.532 NULLO 
[FW]ip route-static 202.1.1.332 NULLO 
[FEW]ip route-static 202.1.1432 NULLO 
[FW]ip route-static 202.1.1.532 NULLO 
[FW] ip route-static 218.1.1.332 NULLO 
~ [FW]iproute-statiec218.1.1432NULLO 
[FW]iproute-statie218.1.1.532NULLO 


【 强 叔 点 评 】 源 NAT 和 NAT Server 都 必须 配置 黑洞 路 由 。 

步骤 8 配置 基于 zone 的 NAT Server， 使 外 网 用 户 能 够 访问 内 网 服务 器 。 

# 一 般 情况 下 一 台 服 务 器 的 私 网 卫 会 映射 成 多 个 ISP 的 公 网 地 址 , 供 各 个 ISP 的 用 

户 访问 。 
学 校 提供 对 外 访问 的 服务 器 很 多 ， 我 们 仅 以 其 中 的 图 书馆 服务 器 〈10.1.10.10) 和 
DNS 服务 器 (10.1.10.20) 为 例 配 置 基于 zone 的 NAT Server。 

[FW] nat server 1 zone ispl global 200.1. 10.10 inside 10.1.10.10 description Ib-ispl 
[FW]natserver2zoneisp2global202.1.10.10inside 10.1.10.10descriptionlbisp2 
fr mat server 3 ome atoct Wabal 210 .110.10 loalde 10.1.10.10 dseriptien meract | 

‘ [FW] nat server 4 zone ispl global 200.1.10.20 inside 10.1.10.20 description dns-ispl 


[FW] nat server s zone isp2 global 202.1.10.20 inside 10.1.10.20 deseription dns-isp2 
[FW] nat server 6 zone cernet global 218.1.10.20 inside 10.1.10.20 description dns-cernet 


# 配置 黑洞 路 由 ， 将 NAT Server aa 


~ [FW] ip route-static 200.1.10.1032 NULL0 
[FW] ip route-static 202.1.10.10 32 NULL 0 
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[FW] ip route-static 218.1.10.10 32 NULL 0 
[FW] ip route-static 200.1.10.20 32 NULL 0 
[FW] ip route-static 202.1.10.20 32 NULL 0 
[FW] ip route-static 218.1.10.20 32 NULL 0 


步骤 9 配置 智能 DNS， 使 各 个 ISP 的 外 网 用 户 都 能 够 使 用 自己 所 在 的 ISP 地 址 访 
问 内 网 服务 器 。 

【 强 叔 点 评 】 智 能 DNS 的 作用 是 确保 各 个 ISP 的 用 户 访 问 学 校 的 服务 器 时 ， 都 能 够 
解析 到 自己 ISP 为 服务 器 分 配 的 地 址 ， 从 而 提高 访问 速度 。 例如 ISP1 的 用 户 通过 域名 访 
问 图 书馆 服务 器 10.1.10.10 时 ， 会 解析 到 服务 器 的 ISP1 地 址 200.1.10.10。 

# 配置 智能 DNS 功能 。 配 置 时 需要 将 分 配给 每 个 ISP 的 服务 器 地 址 与 连接 ISP 的 出 
接口 绑 定 。 


[FW] dns-smart enable 

[FW] dns-smart group 1 type single 

[FW-dns-smart-group-1] description jb 

[FW-dns-smart-group-1] real-server-ip 10.1.10.10 
[FW-dns-smart-group-1] out-interface GigabitEthernet 2/0/0 map 218.1.10.10 
{[FW-dns-smart-group-1] out-interface GigabitEthernet 1/0/1 map 200.1.10.10 
{FW-dns-smart-group-1] out-interface GigabitEthernet 1/0/2 map 202.1.10.10 
[FW-dns-smart-group-1] quit 


步骤 10 配置 NAT ALG 功能 。 
【 强 叔 点 评 】NAT ALG 与 ASPF 的 配置 命令 一 致 。 
# 分 别 在 trust 区 域 与 isp1、isp2、cernet 区 域 之 间 配 置 NAT ALG 功能 。 


[FW] firewall interzone trust isp1 
[FW-interzone-trust-isp1] detect ftp 
[EW-interzone-trust-isp1] detect sip 
[FW-interzone-trust-isp1] detect h323 
[FW-interzone-trust-isp1] detect mgcp 
[FW-interzone-trust-isp1] detect rtsp 
[FW-interzone-trust-ispl] detect qq 
[FW-interzone-trust-ispl] quit 
[FW] firewall interzone trust isp2 
[FW-interzone-trust-isp2] detect ftp 
[FW-interzone-trust-isp2] detect sip 
[FW-interzone-trust-isp2] detect h323 
[FW-interzone-trust-isp2] detect mgcp 
[FW-interzone-trust-isp2] detect rtsp 
[FW-interzone-trust-isp2] detect qq 
[FW-interzone-trust-isp2] quit 
[FW] firewall interzone trust cernet 
[FW-interzone-trust-cernet] detect ftp 
[FW-interzone-trust-cernet] detect sip 
[FW-interzone-trust-cemet] detect h323 
[FW-interzone-trust-cernet] detect mgcp 
[FW-interzone-trust-cernet] detect rtsp 
[FW-interzone-trust-cernet] detect qq 
[FW-interzone-trust-cernet] quit 


步骤 11 配置 攻击 防范 功能 ， 保 护 内 部 网 络 安全 。 


[FW] firewall defend land enable 
[FEW] firewall defend smurf enable 
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【 强 叔 点 评 】 一 般 情 况 下 ， 如 果 对 网 络 安全 没有 特殊 要 求 ， 开 启 以 上 攻击 防范 即 可 。 
对 于 SYN Flood 攻击 防范 ， 建 议 GE 接口 阔 值 取 值 16000。 本 案例 的 接口 都 是 GE 
接口 ， 之 所 以 取 值 为 24000， 也 是 实际 试验 的 结果 。 因 为 实际 经 验 往 往 是 配置 较 大 的 阔 
值 ， 然 后 一 边 观 察 一 边 调 小 阔 值 ， 直 到 调整 到 合适 的 范围 〈 既 很 好 地 限制 了 攻击 ， 又 不 
影响 正常 业务 )。 

步骤 12 配置 带宽 管理 功能 。 

【 强 叔 点 评 】 带 宽 管 理 的 配置 方法 是 先 创建 带宽 通道 (也 就 是 指定 各 种 限 流 参数 )， 
然后 在 带宽 策略 中 引用 带宽 通道 。 需 要 特别 注意 的 是 上 传 、 下 载 的 方向 与 outbound、 
inbound 的 关系 。 另 外 一 般 情 况 下 建议 限制 P2P 流量 到 网 络 总 流量 的 20% 一 30%。 

# 配置 下 载 和 上 传 的 带宽 通道 , 总 带宽 都 限制 为 


i 








pO 


# 在 ISP2 区 域 的 入 方向 和 出 方向 上 配置 带宽 策略 , 分 别 限制 下 载 和 上 传 方向 的 P2P 
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流量 。 





步骤 13 配置 系统 日 志和 NAT 溯源 功能 ， 在 网 管 系统 eSight 上 查看 日 志 。 
# 配置 防火 墙 向 日 志 主 机 (10.1.10.30) 发 送 系统 日 志 〈 本 案例 发 送 IPS 日 志和 攻击 
防范 日 志 )。 













# 配置 防火 墙 向 日 志 主 机 (10.1.10.30) 发 送 会 话 日 志 ( 端 口 9002)。 这 里 需要 在 trust 
与 isp、isp2、cernet 间 的 双方 向 都 配置 审计 策略 。 

【 强 叔 点 评 】NAT 溯源 功能 是 查看 NAT 转换 前 后 的 地 址 信息 。 我 们 的 实现 方式 是 通过 
防火 墙 上 配置 审计 功能 生成 会 话 日 志 ， 然 后 将 会 话 日 志 输出 到 日 志 主机 上 。 在 日 志 主机 上 ， 
我 们 可 以 通过 网 管 系统 eSight 查看 这 些 会 话 日 志 ， 从 而 查看 NAT 转换 前 后 的 地 址 信息 。 
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[FW-audit-policy -interzone-trust-isp2-inbound-0] quit 

{FW-audit-policy -interzone-trust-isp2-inbound] quit 

[FW] audit-policy interzone trust cernet outbound 

[FW-audit-policy - -interzone-trust-cernet-outbound] policy 0 
[FW-audit-policy -interzone-trust-cemet-outbound-0] action audit ， 
[FW-audit-policy -i -interzone-trust-cernet-outbound-0] quit 
[FW-audit-policy -interzone-trust-cemetroutbound] quit 
: [FW] audit-poliey interzone trust cernet inbound 。 

~ [FW-audit-policy -interzone-trust-cernet-inbound] policy 0 

; [FW-audit-policy - -interzone-trust-cernet-i inbound-0] action audit 
[FW-audit-policy -i -interzone-trust-cemnet- inbound-0] quit 

[FW-audit-policy -interzone-trust-cernet-inbound] quit 。， 

# 本 案例 中 日 志 主机 〈10.1.10.30) 上 安装 了 网 管 系统 eSight。 如 果 希 望 在 eSight 上 
查看 日 志 ， 需 要 在 防火 墙 上 配置 SNMP， 使 防火 墙 与 eSight 对 接 。eSight 上 的 SNMP 参 
数 需要 与 防火 墙 上 保持 一 致 。 

[FW] snmp-agent sys-info v3 

[FW] snmp-agent group v3 NMS1 privacy 

[FW] snmp-agent usm-user v3 adminl NMS1 authentication-mode md5 Admin(@123 privacy-mode aes256 Admin@123 

#eSight 配置 完成 后 ， 在 eSight 上 选择 “业务 -> 安全 业务 ->LogCenter-> 日 志 分 析 -> 会 
话 分 析 ->IPv4 会 话 日 志 ” 可 以 查看 会 话 日 志 。 


11.4 ”拍案 惊奇 


。 此 案例 的 惊奇 之 处 在 于 几乎 囊括 了 防火 墙 的 所 有 经 典 特 性 : 安全 策略 、NAT、 
ASPF、 攻 击 防范 、IPS、 带 宽 管 理 〈 基 于 应 用 的 带宽 限制 、 基 于 每 IP 的 带宽 限 
制 )。 防 火 墙 功能 繁多 ， 如 果 读 者 们 不 知道 如 何 选择 ， 那 么 参考 此 样板 案例 就 八 
九 不 离 十 了 。 

。 此 案例 的 另 一 惊奇 之 处 在 于 展现 了 防火 墙 作 网 关 的 能 力 。 网 关 最 重要 的 特性 之 一 
就 是 出 口 选 路 。 防火墙 通过 ISP 选 路 功能 实现 基于 目的 地 址 的 选 路 , 通过 策略 路 
由 功能 实现 基于 源 地 址 的 选 路 ， 通 过 智能 DNS 功能 实现 外 网 用 户 访问 内 网 服务 
器 的 选 路 〈 选 择 最 适合 的 服务 器 )。 

另外 与 路 由 器 作 网 关 相 比 , 防火 墙 作 网 关 的 优势 在 于 更 强大 的 NAT、 更 强大 的 安 

全 性 。 

。 此 案例 的 又 一 惊奇 之 处 在 于 展现 了 防火 墙 的 NAT 济源 功能 (防火 墙 上 配置 审计 
策略 后 ， 会 将 会 话 日 志 发 送 给 网 管 系统 ， 客 户 在 网 管 系统 上 能 够 查看 到 NAT 前 
后 的 地 址 )。 这 个 功能 很 实用 ， 是 应 对 上 级 和 相关 部 门 检查 的 利器 。 
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iz 


12.1 组 网 需求 


如 图 12-1 所 示 ， 广 电 分 别 向 两 个 ISP 租用 了 两 条 10G 链 路 ， 为 城 域 网 的 广电 用 户 


提供 宽带 上 网 服务 。 广 电 还 在 服务 器 区 部 署 了 服务 器 ， 为 内 外 网 用 户 提供 服务 器 托管 
业务 。 






1.1.1.2/30 
出 口 汇聚 交换 机 


VRRP 备份 组 1 、、 VRRP 备份 组 2 
1.1.1.130 2224130 

GE1/0/2 

10.0.2.2/24 
























GE1/0/2 GE1/0/1 
10.0.1.1/24 10.0.2.1/24 10.0.1.2/24 


入 一 一 7 FW2 DNS 服务 器 
T GE1/0/4 10.0.10.20/24 
GE1/0/3 10.0.6.1/24 
10.0.3.1/24 


Web 服务 器 
10.0.10.10/24 


FTP 服务 器 
核心 路 由 器 


10.0.10.11/24 


日 志 服务 器 
10.0.10.30/24 


图 12-1 广电 网 络 Internet 出 口 组 网 图 


广电 的 Internet 出 口 处 部 署 了 两 人 台 防 火 墙 作为 出 口 网 关 (USG9560 V300R001C20 版 
本 )。 两 台 防火 墙 的 上 行 接口 通过 出 口 汇 聚 交 换 机 与 两 个 ISP 相连 , 下 行 接 口 通过 核心 路 
由 器 与 城 域 网 相连 ， 通 过 服务 器 区 的 交换 机 与 服务 器 相连 。 

广电 网 络 对 Internet 出 口 防火 墙 的 具体 需求 如 下 。 
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(1) 广电 希望 两 台 防 火 墙 能 够 组 成 主 备 备份 组 网 ， 提 升 网 络 可 靠 性 。 

(2) 广电 希望 通过 防火 墙 的 NAT 功能 保证 城 域 网 的 海量 用 户 能 够 同时 访问 Internet， 
并 且 通 过 NAT 探测 功能 保证 NAT 地 址 池 中 地 址 的 有 效 性 。 

(3) 为 了 提升 内 网 用 户 的 宽带 上 网 体验 ， 广 电 希 望 防火 墙 能 够 保证 去 往 特定 目的 地 
址 的 流量 能 够 通过 特定 的 ISP 链 路 转发 。 例 如 , 访问 ISP1 的 服务 器 的 流量 能 够 通过 ISP1 
链 路 转发 ， 访 问 ISP2 的 服务 器 的 流量 能 够 通过 ISP2 链 路 转发 。 

对 于 不 属于 特定 目的 地 址 的 流量 ， 防 火 墙 能 够 优选 出 时 延 小 的 链 路 进行 转发 。 

(4) 广电 希望 防火 墙 能 够 识别 出 网 络 中 的 P2P 和 Web 视频 流量 , 将 这 些 流量 引导 到 
ISP2 链 路 进行 转发 ， 并 且 还 能 够 对 这 两 类 流量 进行 流量 控制 。 

(5) 广电 希望 托管 的 服务 器 能 够 供 内 网 用 户 以 及 多 个 ISP 的 用 户 访 问 ， 并 且 广 电网 
络 内 还 部 署 了 DNS 服务 器 为 以 上 服务 器 提供 域名 解析 。 广 电 希 望 各 ISP 的 外 网 用 户 能 够 
解析 到 自己 ISP 为 服务 器 分 配 的 地 址 ， 从 而 提高 访问 服务 器 的 速度 。 

(6) 广电 希望 防火 墙 能 够 保护 内 部 网 络 ， 防 止 各 种 DDoS 攻击 ， 并 对 僵尸 、 木 马 、 
蠕虫 等 网 络 入 侵 行为 进行 告 

(7) 为 了 应 对 有 关 部 门 的 审查 ， 广 电 希 望 防火 墙 能 够 提供 内 网 用 户 访问 Internet 的 
济源 功能 ， 包 括 NAT 转换 前 后 的 全 地 址 ，IM 上 下 线 记录 等 。 


12.2 ” 强 叔 规划 


12.2.1 ” 双 机 热 备 规划 


由 于 每 个 ISP 只 提供 一 条 链 路 ， 而 一 条 链 路 无 法 与 两 台 防 火 墙 直接 相连 ， 因 此 需要 
在 防火 墙 与 ISP 之 间 部 署 出 口 汇 聚 交 换 机 。 出 口 汇聚 交换 机 可 以 将 ISP 的 一 条 链 路 变 为 
两 条 链 路 ， 然 后 分 别 将 两 条 链 路 与 两 台 防火 墙 的 上 行 接 口 相 连 。 而 防火 墙 与 下 行路 由 器 
之 间 运 行 OSPF， 所 以 这 就 组 成 了 “两 台 防 火 墙 上 行 连接 交换 机 ， 下 行 连接 路 由 器 ”的 
典型 双 机 热 备 组 网 。 

为 了 节省 公 网 他, 防火墙 的 上 行 接口 可 以 使 用 私 网 IP, 但 VRRP 备份 组 的 地 址 则 一 
定 要 使 用 ISP 分 配 的 公 网 地 址 ， 以 便 能 够 与 ISP 进行 通信 。 


12.2.2 ”多 出 口 选 路 规划 


当 网 络 的 出 口 网 关 〔 本 案例 为 防火 墙 ， 有 多 个 出 接口 时 ， 网 络 管理 员 必 然 面 临 的 就 
是 多 出 口 选 路 的 规划 问题 。 多 出 口 选 路 的 匹配 顺序 从 高 到 低 依次 是 策略 路 由 、 明 细 路 由 
和 缺 省 路 由 ， 即 流量 会 先 匹配 策略 路 由 ， 按 照 策 略 路 由 进行 选 路 ， 然 后 是 明细 路 由 ， 最 
后 则 是 缺 省 路 由 。 下 面 我 们 就 从 这 三 个 方面 来 进行 多 出 口 选 路 的 规划 。 

1. 基于 应 用 的 策略 路 由 

P2P 流量 和 Web 视频 流量 会 占据 网 络 较 大 的 带宽 ， 因此 我 们 需要 将 这 两 类 流量 引导 
到 特定 的 链 路 转发 ， 这 是 通过 基于 应 用 的 策略 路 由 来 实现 的 。 

本 案例 的 防火 墙 通过 流 分 类 、 流 行为 和 流量 策略 来 实现 策略 路 由 功能 。 我 们 需要 在 
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流 分 类 中 定义 P2P 和 Web 视频 应 用 为 匹配 条 件 ， 在 流行 为 中 定义 ISP2 链 路 为 下 一 跳 ， 
在 QoS 策略 中 将 类 信息 和 行为 信息 关联 。 这 样 P2P 和 Web 视频 流量 将 通过 ISP2 链 路 转发 。 

2. ISP 选 路 

ISP 选 路 实际 上 是 通过 指定 ISP 地 址 文件 和 下 一 跳 信息 来 批量 下 发 ISP 的 明细 路 由 ， 
以 实现 去 往 特定 ISP 地 址 的 流量 能 够 通过 这 个 ISP 链 路 转发 。 防 火 墙 内 置 主流 ISP 的 地 
址 文件 ， 而 且 我 们 还 可 以 根据 需求 手动 创建 和 调整 ISP 地 址 文件 。 

3. 智能 选 路 (最 小 时 延 负载 均衡 方式 ) 

双 出 口 情 况 下 ， 我 们 在 配置 明细 路 由 〈ISP 选 路 ) 的 同时 ， 还 会 配置 两 条 等 价 路 由 ， 
来 匹配 不 能 匹配 明细 路 由 的 流量 。 这 时 我 们 可 以 部 署 智 能 选 路 功能 ， 为 匹配 等 价 路 由 的 
流量 选择 优质 的 链 路 进行 转发 。 

防火 墙 支持 三 种 智能 选 路 方式 。 

。 最 小 时 延 负 载 均衡 是 指 在 出 现 多 条 等 价 路 由 选择 的 时 候 , 防火 墙 会 对 用 户 流量 的 

目的 地 址 进行 时 延 探 测 ， 并 选择 到 达 目 的 地 址 时 延 最 小 的 链 路 来 转发 用 户 流量 。 
。 路 由 权重 负载 均衡 是 指 在 多 条 等 价 路 由 的 出 接口 上 设置 相应 的 路 由 权重 , 用 户 流 
量 按照 路 由 权重 的 比例 分 配 到 每 条 链 路 上 。 

。 链 路 带宽 负载 均衡 是 指 当 存在 多 条 路 由 优先 级 相同 但 物理 带宽 不 同 的 链 路 时 , 用 
户 流量 按照 物理 带宽 的 比例 分 配 到 每 条 链 路 上 。 

本 案例 选择 的 是 最 小 时 延 负载 均衡 方式 的 智能 选 路 。 


12.2.3 ”带宽 管理 规划 


P2P 流量 和 Web 视频 流量 会 占据 网 络 较 大 的 带宽 ， 在 “12.2.2 多 出 口 选 路 规划 ”中 
我 们 已 经 通过 基于 应 用 的 策略 路 由 将 它们 引导 到 ISP2 链 路 转发 。 然 而 如 果 不 对 这 两 类 流 
量 的 总 量 进行 控制 , 将 会 导致 ISP2 链 路 的 其 他 业务 无 法 正常 运行 。 所 以 我 们 还 需要 通过 
部 署 带宽 管理 功能 来 实现 基于 应 用 的 流量 控制 。 

本 案例 中 的 防火 墙 通过 带宽 通道 、 带 宽 策略 来 实现 带宽 管理 功能 。 

带宽 通道 定义 了 被 管理 的 对 象 所 能 够 使 用 的 带宽 资源 ， 带 宽 通 道 被 带宽 策略 引用 。 
在 本 案例 中 带宽 通道 配置 为 限制 总 带宽 不 能 超过 300Mbit/s。 

带宽 策略 定义 了 被 管理 的 对 象 和 动作 ， 并 引用 带宽 通道 。 在 本 案例 中 带宽 策略 定义 
的 对 象 为 P2P 流量 和 Web 视频 流量 ， 动 作为 限 流 ， 并 引用 上 面 配置 的 带宽 通道 。 这 样 带 
宽 策 略 就 能 实现 限制 P2P 流量 和 Web 视频 流量 占用 的 总 带宽 不 超过 300Mbit/s。 


12.2.4 ”安全 规划 


1. 安全 区 域 
在 本 案例 中 每 台 防 火 墙 上 有 5 个 接口 ， 由 于 这 5 个 接口 连接 不 同 的 区 域 ， 因 此 我 们 
需要 将 这 5 个 接口 加 入 不 同 的 安全 区 域 。 
e 连接 ISP1 链 路 的 接口 GE1/0/1 加 入 区 域 isp1。ispl 区 域 需 要 新 建 ， 优 先 级 设 定 
为 10。 
e 连接 ISP2 链 路 的 接口 GE1/0/2 加 入 isp2 区 域 。isp2 区 域 需 要 新 建 ， 优 先 级 设 定 
为 15。 
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。 连接 核心 路 由 器 的 接口 GE1/0/3 加 入 trust 区 域 。trust 区 域 是 防火 墙 缺 省 存在 的 
安全 区 域 ， 优 先 级 为 85。 

e 连接 服务 器 区 的 接口 GE1/0/4 加 入 dmz 区 域 。dmz 区 域 是 防火 墙 缺 省 存在 的 安 
全 区 域 ， 优 先 级 为 50。 

e 连接 对 端 防火 墙 的 心跳 接口 GE1/0/5 加 入 heart 区 域 。Heart 区 域 需要 新 建 优 先 级 
设 定 为 75。 

2. 安全 策略 

为 了 实现 各 个 区 域 间 的 安全 互通 以 及 访问 控制 ， 我 们 需要 部 署 以 下 安全 策略 。 

。 人 允许 trust 区 域 的 内 网 用 户 访 问 ispl 和 isp2 区 域 。 

。 人 允许 trust、ispl 和 isp2 区 域 的 用 户 访问 dmz 区 域 的 特定 服务 器 的 特定 端口 ， 包 
括 Web、FTP、DNS 服务 器 。 

。 允许 防火 墙 (local 区 域 ) 与 dmz 区 域 的 日 志 服 务 器 对 接 。 

。 本 案例 的 防火 墙 USG9560 是 高 端 防火 墙 ， 而 高 端 防火 墙 的 HRP 和 VGMP 报 文 
是 经 过 特殊 处 理 的 ， 不 受到 安全 策略 控制 。 

同时 为 了 保证 以 上 区 域 间 多 通道 协议 〈 例 如 FTP) 的 正常 通信 ， 我 们 还 需要 在 以 上 

各 区 域 间 配置 ASPF 功能 。 


[0 说 明 
防火 墙 缺 省 安全 策略 的 动作 为 禁止 ， 所 以 未 匹配 上 述 安 全 策略 的 流量 都 将 禁止 在 区 域 
间 通 过 。 


3. IPS 

为 了 防止 僵尸 木马 蠕虫 的 入 侵 ， 需 要 在 防火 墙 上 部 署 IPS 功能 。 防 火 墙 IPS 功能 实 
现 的 方式 是 在 配置 安全 策略 时 引用 IPS 配置 文件 。 在 本 案例 中 ， 我 们 需要 在 上 述 配置 的 
安全 策略 中 都 引用 IPS 配置 文件 ， 即 对 安全 策略 允许 通过 的 流量 都 进行 IPS 检测 。 

本 案例 使 用 缺 省 的 IPS 配置 文件 ias， 即 只 对 入 侵 报 文 产生 告警 ,不 阻 断 。 如 果 对 安 
全 性 要 求 不 是 很 高 ， 为 了 降低 IPS 误 报 的 风险 ， 建 议 选 择 ids 配置 文件 。 如 果 对 安全 性 
要 求 较 高 ， 建 议 选择 缺 省 的 IPS 配置 文件 default， 即 会 阻 断 入 侵 行为 。 

4. 攻击 防范 

为 了 避免 内 网 服务 器 和 用 户 受 到 网 络 攻 击 ， 一 般 建 议 开 启 SYN Flood 攻击 防范 和 一 
些 单 包 攻 击 防范 功能 。 


12.2.5 NAT 规划 


1. 源 NAT 

为 了 保证 内 网 海量 用 户 能 够 通过 有 限 的 公 网 地 址 访问 Internet, 需要 在 防火 墙 上 部 署 
源 NAT 功能 。 内 网 用 户 访问 Internet 的 报 文 到 达 防 火 墙 后 , 报 文 的 源 地 址 会 被 NAT 转换 
成 公 网 地 址 ， 源 端口 会 被 NAT 转换 成 随机 的 非 知 名 端口 。 这 样 一 个 公 网 地 址 就 可 以 同 
时 被 多 个 内 网 用 户 使 用 ， 实 现 了 公 网 地 址 的 复 用 ， 解 决 了 海量 用 户 同 时 访问 Internet 
的 问题 。 
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2. NAT 地 址 探测 

如 果 内 网 用 户 的 流量 经 过 NAT 转换 后 对 外 网 进行 了 错误 操作 , 对 应 的 公 网 地 址 可 能 
会 被 ISP 屏蔽 ,导致 其 他 内 网 用 户 无 法 使 用 该 公 网 地 址 正常 上 网 。 部 署 了 NAT 地 址 探测 
功能 后 , 防火 墙 将 针对 NAT 地 址 池 中 的 公 网 地 址 进行 探测 ， 如 果 发 现 分 配 出 去 的 公 网 地 
址 在 一 段 时 间 内 没有 反 向 流量 〈 指 以 地 址 池 中 公 网 地 址 为 目的 地 址 的 流量 ) 或 反 向 流量 
低 于 阔 值 ， 就 把 这 个 地 址 从 NAT 地 址 池 中 排除 ， 从 而 保证 用 户 流量 在 进行 NAT 转换 时 
不 会 转换 成 该 地 址 。 

3. NAT ALG 

当 防 火 墙 既 开 启 NAT 功能 ， 又 需要 转发 多 通道 协议 报 文 (例如 FTP 等 ) 时 ， 必 须 
开启 相应 的 NAT ALG 功能 。 本 案例 主要 应 用 了 FTP、SIP、H323、MGCP、RTSP 和 QQ 
等 多 通道 协议 ， 所 以 需要 开启 这 几 种 协议 的 NAT ALG 功能 。 


[0 说 明 


NAT ALG 与 ASPF 虽然 实现 原理 和 作用 不 同 ， 但 配置 命令 相同 。 


12.2.6 ”内 网 服务 器 规划 


广电 的 托管 服务 器 主要 用 于 对 外 和 对 内 的 业务 ， 目 前 主要 开通 网 站 托管 业务 ， 如 某 
个 学 校 的 网 站 托管 ， 同 时 还 有 公司 内 部 的 办 公 网 ， 公 司 门 户 网 站 等 。 

由 于 托管 服务 器 部 署 在 内 网 的 dmz 区 域 ， 所 以 服务 器 的 地 址 为 私 网 地 址 。 而 由 于 服 
务 器 需要 对 外 提供 服务 ， 所 以 服务 器 需要 提供 能 够 供 内 外 网 用 户 访问 的 公 网 地 址 。 这 就 
需要 在 防火 墙 上 部 署 NAT server 功能 ， 将 服务 器 的 私 网 地 址 转换 成 公 网 地 址 ， 而 且 需 要 
为 不 同 的 ISP 用 户 提供 不 同 的 公 网 地 址 。 

用 户 一 般 是 通过 域名 来 访问 内 网 服务 器 的 ， 服 务 器 区 域 部 署 了 DNS 服务 器 为 用 户 
将 域名 解析 成 内 网 服务 器 的 公 网 地 址 。 通 过 在 防火 墙 上 部 署 智能 DNS 功能 ， 可 以 实现 
ISP1 的 用 户 能 够 解析 到 ISP1 的 地 址 ， 而 ISP2 的 用 户 能 够 解析 到 ISP2 的 地 址 。 这 样 各 
ISP 的 用 户 就 能 够 通过 自身 的 ISP 网 络 访问 广电 内 网 的 服务 器 ， 从 而 保证 用 户 访问 延迟 
最 小 ， 业 务 体 验 最 优 。 


12.2.7 ”应 对 审查 的 规划 


防火 墙 配 套 eSight 日 志 服 务 器 可 以 进行 日 志 的 收集 、 查 询 、 报 表 呈 现 。 通 过 防火 墙 
输出 的 会 话 日 志 可 以 查询 到 NAT 转换 前 后 的 地 址 信息 , 通过 防火 墙 输出 的 IM 上 下 线 日 
志 可 以 查看 和 分 析 用 户 使 用 IM 软件 通信 时 的 上 下 线 信 息 。 


12.3 配置 步骤 


步骤 1 配置 接口 的 IP 地址 ， 并 将 接口 加 入 安全 区 域 。 
# 配置 FW1 的 各 接口 的 IP 地 址 。 
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~ <FW!1> system-view 
[FW1] interface Cisablt ntherne 1/0/1 
[FW1-GigabitEthernet1/0/1] ip address 10.0.1.1 24 
9 [FW1-GigabitEthemet1/0/1] quit 0 
~ [FW!I] interface GigabitEthernet 1/0/2 
[FW1-GigabitEthernet1/0/2] ip address 10.0.2.1 24 
~ [FWI-GigabitEthoemetl/0/2] quit 
[FWil]interface GigabitEthernet1/0/3 
~ [FW1-GigabitEthernet1/0/3] ip address 10.03. 124 ， 。 
[FW1-GigabitEthemet1/0/3] quit ， ， 
[FW1) interface GigabitEthernet 1/0/4 | 
~ [FW1-GigabitEthernet1/0/4] lp address 10.0.5.1 24 
~ [FWI-GigabitBthemet!/0/4] quit 
~ [FW!) interface GigabitEthernet 1o5 
[Fwl-GigabitEthermetl/0/5] ip address 10.0.7.1 24 
[FW1-GigabitEthemet1/0/5] quit 


# 配置 FW2 的 各 接口 的 I 了 P 地 址 。 


<FW2> system-view 
[PW2] interface GigabitEthernet 1/0/1 ， 
[FW2-GigabitEthemet1/0/1] ip address 10.0.1.2 24 
[FEW2-GigabitEthernetl/o/l] quit 
[FW2] interface GigabitEthernet 1/0/2 一 
[FW2-GigabitEthernet1/0/2] ip address 10.0.2.2 24 
[FW2-GigabitEthemetl/0/2] quit 
~ [FW2]interfaceGigabitEthernet 103 
[FW2-GigabitEthernet1/0/3] ip address 10.0.4.1 24 
~ [FW2-GigabitEthernetl/0/3] quit 
~ [FW2]interface Gigabitpthernet U0/4 
~ [FW2-GigabitEthemet1/0/4] ip address 10.0.6.1 24 
FEW2-GigabitEthernetl/0/4] quit 
~ [FW2] interface GigabitEthernet 1/0/5 9 
~ [FW2-GigabitEthemet1/0/5]ipaddress 10.0.7.224 
[FW2-GigabitEthemet1/0/5] quit 


# 在 FW1 上 创建 安全 区 域 ， 并 将 FW1 的 各 接口 加 入 相应 的 安全 区 域 FW2 上 的 安 
全 区 域 配置 与 FW1 相同 ， hale FW1 的 配置 完成 FW2 站 的 天 


FEwl] firewall zone name ispl 
[FwWl1-zone-ispl] set priority 10 
[FW1-zone-ispl] add interface GigabitPthernetloll 
， [FW1-zone-ispl] qt ， 
[FwW1] firewall zone nameisp2 
[PW pn pls set pro 15 









Wil unewalmaetm 。 
[FWl-zone-trust] add intertace GigabEhernetl on ， 
[FW1-zone-trust] quit 
[FWI] firewall zone dmz 
[PW ote a) wad opetoee Clore hee 9 
[FW1 -zone-dmz] quit 
[FW1] firewall zone name heart 
[FWI-zone-heart] set priority 75 9 0 | 2 
- [FW1-zone-heart] add interface GigabitPthernetL/0/S ~ 2 9 
[FW1-zone-heart] quit : ， 
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步骤 2 配置 缺 省 路 由 。 
# 配置 IP-Link， 探 测 各 ISP ao 
{FW1] ip-link check enable 


[FWI] ip-link 1 destination 1.1.1.2 interface GigabitEthernet1/0/1 
[FW1] ip-link 2 destination 2.2.2.2 interface GigabitEthernet1/0/2 


# 配置 两 条 缺 省 路 由 ， 下 一 跳 分 别 为 ISPl1 和 ISP2 2 的 链 中 地址 


[FW1] ip route-static 0.0.0.0 0.0.0.0 1. 1.1.2 track ip-link 1 
[FWI1] ip route-static 0.0.0.0 0.0.0.0 2.2.2.2 track ip-link 2 


【 强 叔 点 评 】 当 IP-Link 监控 的 链 路 故障 时 ， 与 其 绑 定 的 静态 路 由 或 策略 路 由 会 失效 。 

#FW2 的 IP-Link 和 缺 省 路 由 配置 与 FW1 相同 ,读者 可 以 参照 FW1 的 配置 完成 FW2 
的 人 P-Link 和 缺 省 路 由 配置 。 

步骤 3 配置 ISP 选 路 功能 。 

(1) 从 各 ISP 获取 最 新 的 目的 地 址 明细 。 

(2) 按 如 下 格式 分 别 编辑 各 ISP 的 csv 文件 。 下 面 仅 供 参 考 ， 具 体 以 当地 ISP 提供 
的 地 址 为 准 。 











目的 IP 范 围 (Destination IP Range) 
1.184. 0. 0-1. 185. 255. 255 
58. 116. 0. 0-58. 119. 255. 255 
58. 128. 0. 0-58. 135. 255. 255 
58. 154. 0. 0-58. 155. 255. 255 
58. 192. 0. 0-58. 207. 255. 255 | 
59. 64. 0. 0-59. 79. 255. 255 | 
110. 64. 0. 0-110. 65. 255. 255 
111. 114. 0. 0-111. 117. 255. 255 
111. 186. 0. 0-111. 187. 255. 255 
,113. 54. 0. 0-113. 55. 255. 255 
.114. 212. 0. 0-114. 214. 255. 255 
115. 24. 0. 0-115. 27, 255. 255 ， 
115. 154. 0. 0-115. 158. 255. 255 
116. 13. 0. 0-116.13. 255. 255 
116. 56. 0. 0-116. 57. 255. 255 
117.106. 0. 0-117.107. 255. 255 
117. 112. 0. 0-117.119. 255. 255 
118. 202. 0. 0-118. 203. 255. 255 
118. 228. 0. 0-118. 230. 255. 255 
.120. 94. 0. 0-120. 95. 255. 255 


(3) 导入 所 有 ISP 的 csv 文件 。 

(4) 执行 以 下 命令 ， 分 别 加 载 各 ISP 的 csv 文件 ， 并 指定 下 一 跳 。 
[FW1) isp set filename isp2.csv Gigabitethernet 1/0/1 next-hop 1.1.1.2 track ip-link 1 
[EWI] isp set flename p2.csv GigabitEthernet 1/0/2 next-hop 2.2.2.2 track ip-link 

(5) FW2 的 ISP 选 路 配置 与 FW1 相同 , 读者 可 以 参照 FW1 的 配置 完成 FW2 的 ISP 

选 路 配置 。 

步骤 4 配置 策略 路 由 。 

# 在 FW1 上 配置 ACL， 定 义 来 自 内 网 用 户 的 报 文 。 

[FW1] acl number 2000 


i i pe ， es 
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# 在 FW1 配置 自 定义 应 用 组 ， 加 入 P2P 类 和 Web 视频 类 应 用 。 


[FWI1] sa 
[FW1-sa] app-set p2p_web_video 
[FWi-sa-p2p_web_video] category p2p 
[FWI1-sa-p2p_web_video] web_video 
[FW1-sa-p2p_web_video] quit 
[FW1-sa] quit 
# 在 FW1 上 配置 流 分 类 ， 匹 配 来 自 内 网 的 P2P 和 Web 视频 流量 报 文 。 
[FWI1] traffic classifier class1 
[FWi-classifier-class1] if-match acl 2000 app-set p2p_web_video 
~ [FWl-classifier-class1] quit 


# 在 FW1 上 配置 流行 为 ， 定 义 重 定向 的 下 一 跳 为 ISP2 链 路 。 
~ [FWI] eraffie behavior behaviorl 
~ [FW1-behavior-behaviorl] redirect ip-nexthop 2.2.2.2 interface GigabitEthernet 1/0/1 
# 在 FW1 上 配置 流量 策略 ， 将 流 分 类 与 流行 为 关联 。 
[FWI]trafficpolicypolicyl 


IFW1-trafficpolicy-policy1] classifier classl behavior behaviori 
[FW1-trafficpolicy-policy1] quit 

# 在 FW1 的 GE1/0/3 接口 上 应 用 流量 策略 ， 实 现 策略 路 由 功能 。 
[FW1] interface GigabitEthernet 1/0/3 


[FW1-GigabitEthemet1/0/3] traffic-policy policy1 inbound 
~ [FW1-GigabitEthemet1/0/3] quit 


【 强 叔 点 评 】 为 了 实现 策略 路 由 功能 ， 流 量 策略 需要 应 用 在 需要 控制 的 流量 的 入 接 
口上 ， 并 且 方 向 要 设置 为 inbound， 即 对 进入 此 接口 的 流量 使 用 流量 策略 。 

# FW2 的 策略 路 由 配置 与 FW1 相同 ， 读 者 可 以 参照 FW1 的 配置 完成 FW2 的 策略 
路 由 配置 。 


步骤 5 配置 OSPF。 

# 在 FW1 上 配置 OSPF， 发 布下 行 接口 所 在 网 段 。 
FWllospfl 

Waslwes 


{FW1-ospf- 1-area-0.0.0.0] network 10.0.3.0 0.0.0.255 
FWi-ospf- -1-area-0.0.0.0] network 10.0.5.0 0.0.0.255 
[FWi-ospf-1-area-0.0.0.0] quit 
[FWI-ospf-1] quit | 
# 在 FW2 上 配置 OSPF， 发 布下 行 接口 所 在 网 段 。 
FEwW2]oespfl 
，” “EW2-0spf-1] area 0 
[FW2-0spf-1-area-0.0.0.0] network 10.0.4.0 0.0.0.255 
[FW2-ospf-1-area-0.0.0.0] network 10.0.6.0 0.0.0.255 
[FW2-0spf-1-area-0.0.0.0] quit 
[FW2-0spf-1] quit 
步骤 6 配置 双 机 热 备 功能 。 
# 在 FW1 的 上 行 接口 上 配置 VRRP 备份 组 , 并 将 VRRP 备份 组 状态 设置 为 Master。 
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[FW1] interface GigabitEthernet1/0/1 

[FW1-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 30 master 
[FW1-GigabitEthemet1/0/1] quit 

[FW1] interface GigabitEthernet1/0/2 

[FW1-GigabitEthemet1/0/1] vrrp vrid 2 virtual-ip 2.2.2.1 30 master 
[FW1-GigabitEthernet1/0/1] quit 


# 在 FW1 上 配置 VGMP 组 监控 下 行 接口 。 


[FW1] hrp track interface GigabitEthernet1/0/3 
[FW1] hrp track interface GigabitEthernet1/0/4 


# 在 FW1 上 指定 心跳 口 ， 并 启用 双 机 热 备 功能 。 


[FW1] hrp interface GigabitEthernet1/0/5 remote 10.0.7.2 
[FW1] hrp enable 


# 在 FW2 的 上 行 接口 上 配置 VRRP 备份 组 ， 并 将 VRRP 备份 组 状态 设置 为 Slave。 


[FW2] interface GigabitEthernet1/0/1 
[FW2-GigabitEthemet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 30 slave 
[FW2-GigabitEthemet1/0/1] quit 

[FW2] interface GigabitEthernet1/0/2 
[FW2-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 2.2.2.1 30 slave 
[FW2-GigabitEthernet1/0/1] quit 


# 在 FW2 上 配置 VGMP 组 监控 下 行 接口 。 


[FW2] hrp track interface GigabitEthernet1/0/3 
[FW2] hrp track interface GigabitEthernet1/0/4 


# 在 FW2 上 指定 心跳 口 ， 并 启用 双 机 热 备 功能 。 


[FW2] hrp interface GigabitEthernet1/0/5 remote 10.0.7.1 
[FW2] hrp enable 


【 强 叔 点 评 】 双 机 热 备 状态 成 功 建立 后 ， 大 部 分 配置 都 能 够 备份 。 所 以 在 下 面 的 步 
又 中 ， 我 们 只 需 在 主 用 设备 FW1 上 配置 即 可 (有 特殊 说 明 的 配置 除外 )。 

步骤 7 配置 智能 选 路 功能 。 

# 在 FW1 上 配置 智能 选 路 的 工作 模式 为 最 小 时 延 模式 。 

HRP M[FW1] ucmp group ucmpl mode proportion-of-intelligent-control 

# 在 FW1 上 配置 智能 选 路 的 掩 码 长 度 为 24。 

HRP_M[FW1] ucmp group ucmpl intelligent-control-mask 24 

# 在 FW1 上 配置 GigabitEthernet1/0/1 加 入 UCMP1 组 , 设置 针对 远 端 主机 健康 检查 
的 源 下 地 址 为 10.0.1.1。 

HRP_M[FW1] interface GigabitEthernet 1/0/1 

HRP MIFW]1-GigabitEthemetl/0/1] ucmp-group ucmpl 


HRP MI[IFW1-GigabitEthernet1/0/1] healthcheck source-ip 10.0.1.1 
HRP MI[IFW1-GigabitEthernet1/0/1] quit 


# 在 FW1 上 配置 GigabitEthernet1/0/2 加 入 UCMP1 组 , 设置 针对 远 端 主机 健康 检查 
的 源 卫 地 址 为 10.0.2.1 。 


HRP M[FW1] interface GigabitEthernet 1/0/2 
HRP_M[FW1-GigabitEthernet1/0/2] uemp-group ucmp1l 
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0 ee 10.0.2.1 
HRP_ MIFW1-GigabitEthernet1/0/2] quit 


【 强 叔 点 评 】 智 能 选 路 的 配置 除了 healthcheck source-ip 命令 外 ， 都 支持 双 机 热 备 。 
healthcheck source-ip 需要 在 两 台 防 火 墙 上 分 别 手动 配置 。 
# 在 FW2 的 GigabitEthernet1/0/1 接口 上 配置 健康 检查 的 源 全 i 10.0.1.2。 


HRP_ SI[FW2] interface GigabitEthernet 1/0/1 
HRP _S[FW2-GigabitEthernet1/0/1] healthcheck Me 10.0.1.2 
HRP : S[FW2-GigabitEthernet1/0/1] quit 


# 在 FW2 的 GigabitEthernet1/0/2 接 口上 配置 健康 检查 的 源 IP 地 址 为 10.0.2.2。 


HRP SIFW2] interface GigabitEthernet 1/0/2 
HRP _S[FW2-GigabitEthernet1/0/2] healthcheck source-ip 10.0.2.2 
HRP S[FW2-GigabitEthermet1/0/2] quit 


步骤 8 配置 带宽 管理 功能 。 

【强权 点 评 】 带 宽 管理 的 配置 方法 是 先 创建 带宽 通道 (也 就 是 指定 各 种 限 流动 作 )， 
然后 在 带宽 策略 中 引用 带宽 通道 。 这 里 需要 特别 注意 的 是 上 传 、 下 载 的 方向 与 outbound、 
inbound 的 关系 。 另 外 一 般 情 况 下 建议 限制 P2P 流量 到 网 络 总 流量 的 20% 一 30%。 

# 配置 带宽 通道 ， 限 制 总 带宽 为 3Gbit/s。 


HRP_MIFW1] car-class p2p_web_video 
HRP_ MIFW 1-car-class-p2p ， web_video] cir 3000000 total 
HRP_M[FW!l-car-class-p2p_web_video] quit 


# 在 ispl 区 域 的 入 方向 和 出 方向 上 配置 带宽 策略 ， 分 别 限制 ISP1 链 路 下 载 和 上 传 
方向 的 P2P 和 Web 视频 流量 。 


_ HRP _MIFW1] car-policy zone ispl inbound 
HRP. MI[FW 1-car-policy-zone-ispl -inbound] policey0 | 
HRP_M[FW1-car-policy-zone-isp1-inbound-0] RN application category p2p 
HRP_ _M[FW1-car-policy-zone-isp1-inbound-0] policy epplication category web_video 
一 HRP- _MIFW1-car pojicy-zone-ispl-inbound-0] action car 
HRP_MIFW1-carpolicy-zone-ispl-inbound-0] car-class p2p_web video 
HRP _MI[FW1-carpolicy-zone-ispl-inbound-0] description limit ， download 
HRP _MIFW1-carpolicy-zone-isp1-inbound-0] quit 。 
_HRP_MIFW1-car-policy-zone-isp1-inbound] quit 
HRP _MIFW!1] car-policy Zone ispl outbound 
ae MIFW1-carpolicy-zone-isp1-outbound] policy0 
HRP M[FW!1-car-policy-zone-ispl-outbound-0] policy application ww p2p 
HRP _M[FW1-carpolicy-zone-isp1-outbound-0] policy application category web ， video 
HRP MIFW!1-car-policy-zone-ispl-outbound-0] action car 
me _MIFW1-carpolicy-zone-isp1-outbound-0] ear-class p2p_web vdeo 
~ HRP_M[FW!-car-policy-zone-ispl-outbound-0] description limit_upload 
| HRP _MIFW 1-car-policy-zone-isp1-outbound-0] quit 
~ HRP M[FWl-car-policy-zone-ispl-outbound] quit 2 


# 在 isp2 区 域 的 入 方向 和 出 方向 上 配置 带宽 策略 ， 分 别 限制 ISP2 链 路 下 载 和 上 传 
方向 的 P2P 和 Web 视频 流量 。 
HRP _MIFW1] car-policy zone isp2 inbound 
HRP_M[FWI 1-car-policy-zone-isp2-inbound] policy 0 


HRP _MI[FW1-car policy-zone-isp2-inbound-0] policy application category p2b 
HRP_M[FW1-car-policy-zone-isp2-inbound-0] policy application category web_video 
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HRP_MIFW1-carpolicy-zone-isp2-inbound-0] action car 
HRP_M[FW1-car-policy-zone-isp2-inbound-0] car-class p2p_web_video 

HRP MIFW1-car-policy-zone-isp2-inbound-0] description limit_download 
HRP MI[IFW!1-car-policy-zone-isp2-inbound-0] quit 

HRP MI[IFWI]-car-policy-zone-isp2-inbound] quit 

HRP MIFW!1] car-policy zone isp2 outbound 

HRP MI[IFW1-car-policy-zone-isp2-outbound] policy 0 

HRP MIFW1-car-policy-zone-isp2-outbound-0] policy application category p2p 
HRP MIFW!1-car-policy-zone-isp2-outbound-0] policy application category web_video 
HRP MI[IFW1-car-policy-zone-isp2-outbound-0] action car 

HRP_ MI[IFW1-car-policy-zone-isp2-outbound-0] car-class p2p_web_video 
HRP_M[EFW1-car-policy-zone-isp2-outbound-0] description limit upload 

HRP MIEW1-carpolicy-zone-isp2-outbound-0] quit 

HRP MI[FW1-car-policy-zone-isp2-outbound] quit 


步骤 9 配置 安全 策略 和 内 容 安全 功能 。 
# 配置 trust 区 域 与 ispl 区 域 出 方向 的 安全 策略 ， 人 允许 内 网 用 户 通 过 ISP1 访问 
Internet， 并 进行 入 侵 防 御 检 测 。 


HRP MIFW!1] policy interzone trust ispl outbound 

HRP_ MI[IFW!1-policy-interzone-trust-ispl-outbound] policy 0 
HRP_M[FW1-policy-interzone-trust-isp1-outbound-0] action permit 
HRP_ MI[FW1-policy-interzone-trust-isp1-outbound-0] profile ips ids 
HRP MIFW1-policy-interzone-trust-isp1-outbound-0] quit 

HRP MI[FW1-policy-interzone-trust-isp1-outbound] quit 


# 配置 trust 区 域 与 isp2 区 域 出 方向 的 安全 策略 ， 人 允许 内 网 用 户 通过 ISP2 访问 
Internet， 并 进行 入 侵 防 御 检 测 。 


HRP MI[FW1] policy interzone trust isp2 outbound 

HRP MIFW1-policy-interzone-trust-isp2-outbound] policy 0 

HRP_ MIFW1-policy-interzone-trust-isp2-outbound-0] action permit 
HRP MIFW1-policy-interzone-trust-isp2-outbound-0] profile ips ids 
HRP MIFW1-policy-interzone-trust-isp2-outbound-0] quit 

HRP MIFW1-policy-interzone-trust-isp2-outbound] quit 


# 配置 ispl 区 域 与 dmz 区 域 入 方向 的 安全 策略 ， 人 允许 外 网 用 户 通过 ISP1 链 路 访问 
dmz 区 域 的 Web 服务 器 、FTP 服务 器 和 DNS 服务 器 ， 并 进行 入 侵 防 御 检 测 。 


HRP MI[FW1] policy interzone ispl dmz inbound 

HRP MIFW1-policy-interzone-isp1-dmz-inbound] policy 0 

HRP MIFW1-policy-interzone-isp1-dmz-inbound-0] policy destination 10.0.10.10 0.0.0.2553 
HRP MIFW1-policy-interzone-ispl-dmz-inbound-0] policy service service-set http 

HRP MIFW1-policy-interzone-ispl-dmz-inbound-0] action permit 
HRP_M[FW1-policy-interzone-isp1-dmz-inbound-0] profile ips ids 

HRP MI[IFW1-policy-interzone-ispl-dmz-inbound-0] quit 
HRP_M[FW1-policy-interzone-ispl-dmz-inbound] policy 1 

HRP MIFW1-policy-interzone-isp1-dmz-inbound-1] policy destination 10.0.10.11 0.0.0.255 
HRP M[FW!1-policy-interzone-ispl-dmz-inbound-1] policy service service-set ftp 
HRP_M[FW1-policy-interzone-isp1-dmz-inbound-1] action permit 
HRP_M[FW1-policy-interzone-isp1-dmz-inbound-1] profile ips ids 
HRP_M[FW1-policy-interzone-ispl-dmz-inbound-1] quit 
HRP_M[FW1-policy-interzone-isp1-dmz-inbound] policy 2 
HRP_M[FW1-policy-interzone-isp1-dmz-inbound-2] policy destination 10.0.10.20 0.0.0.255 
HRP_ MI[IFW1-policy-interzone-ispl-dmz-inbound-2] policy service service-set dns 

HRP MI[FW1-policy-interzone-isp1-dmz-inbound-2] action permit 
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HRP MI[FW1-policy-interzone-isp1-dmz-inbound-2] profile ips ids 
HRP MI[IFW1-policy-interzone-isp1-dmz-inbound-2] quit 
HRP MIFW1-policy-interzone-ispl1-dmz-inbound] quit 


# 配置 isp2 区 域 与 dmz 区 域 入 方向 的 安全 策略 ， 人 允许 外 网 用 户 通 过 ISP2 链 路 访问 
dmz 区 域 的 Web 服务 器 、FTP 服务 器 和 DNS 服务 器 ， 并 进行 入 侵 防 御 检 测 。 


HRP MI[FW1] policy interzone isp2 dmz inbound 
HRP_M[FW1-poticy-interzone-isp2-dmz-inbound] policy 0 

HRP M[FW1-policy-interzone-isp2-dmz-inbound-0] policy destination 10.0.10.10 0.0.0.255 
HRP_ MI[FW1-policy-interzone-isp2-dmz-inbound-0] policy service service-set http 

HRP_ MIFW!1-policy-interzone-isp2-dmz-inbound-0] action permit 

HRP M[FW1-policy-interzone-isp2-dmz-inbound-0] profile ips ids 

HRP MIEW1-policy-interzone-isp2-dmz-inbound-0] quit 

HRP_ MIFW1-policy-interzone-isp2-dmz-inbound] policy 1 
HRP_M[FW1-policy-interzone-isp2-dmz-inbound-1] policy destination 10.0.10.11 0.0.0.255 
HRP MI[IFW1-policy-interzone-isp2-dmz-inbound-1] policy service service-set ftp 

HRP MI[IFW1-policy-interzone-isp2-dmz-inbound-1] action permit 

HRP M[FW!1-policy-interzone-isp2-dmz-inbound-1] profile ips ids 

HRP M[FW!1-policy-interzone-isp2-dmz-inbound-1] quit 

HRP MIFW!1-policy-interzone-isp2-dmz-inbound] policy 2 

HRP MIFW1-policy-interzone-isp2-dmz-inbound-2] policy destination 10.0.10.20 0.0.0.255 
HRP MIFW1-policy-interzone-isp2-dmz-inbound-2] policy service service-set dns 

HRP MI[FW1-policy-interzone-isp2-dmz-inbound-2] action permit 
HRP_M[IFW1-policy-interzone-isp2-dmz-inbound-2] profile ips ids 
HRP_M[FW1-policy-interzone-isp2-dmz-inbound-2] quit 
HRP_M[FW1-poticy-interzone-isp2-dmz-inbound] quit 


# 配置 trust 区 域 与 dmz 区 域 出 方向 的 安全 策略 , 允许 内 网 用 户 访问 dmz 区 域 的 Web 
服务 器 、FTP 服务 器 和 DNS 服务 器 ， 并 进行 入 侵 防 御 检 测 。 


HRP_M[FW1] policy interzone trust dmz outbound 

HRP MI[FW1-policy-interzone-trust-dmz-outbound] policy 0 
HRP_M[FW1-policy-interzone-trust-dmz-outbound-0] policy destination 10.0.10.10 0.0.0.255 
HRP_M[FW1-policy-interzone-trust-dmz-outbound-0] policy service service-set http 

HRP MI[FW1-policy-interzone-trustrdmz-outbound-0] action permit 

HRP_ M[FW1-policy-interzone-trust-dmz-outbound-0] profile ips ids 
HRP_M[FW!1-policy-interzone-trust-dmz-outbound-0] quit 

HRP MI[FW1-policy-interzone-trust-dmz-outbound] policy 1 

HRP_ MIFW1-policy-interzone-trust-dmz-outbound-1] policy destination 10.0.10.11 0.0.0.255 
HRP_ MI[FW1-policy-interzone-trust-dmz-outbound-1] policy service service-set ftp 
HRP_MI[FW1-policy-interzone-trust-dmz-outbound-1] action permit 

HRP MI[FW1-policy-interzone-trust-dmz-outbound-1] profile ips ids 

HRP MIFW1-policy-interzone-trust-dmz-outbound-1] quit 

HRP MIFW1-policy-interzone-trust-dmz-outbound] policy 2 

HRP_M[FW 1-policy-interzone-trust-dmz-outbound-2] policy destination 10.0.10.20 0.0.0.255 
HRP_M[FW1-policy-interzone-trust-dmz-outbound-2] policy service service-set dns 
HRP_M[FW1-policy-interzone-trust-dmz-outbound-2] action permit 

HRP MIFW!]-policy-interzone-trust-dmz-outbound-2] profile ips ids 

HRP MIFW1-policy-interzone-trust-dmz-outbound-2] quit 

HRP MI[FW1-policy-interzone-trust-dmz-outbound] quit 


# 配置 local 与 dmz 区 域 间 出 方向 和 入 方向 的 安全 策略 ， 人 允许 防火 墙 与 日 志 服 务 器 
对 接 。 


HRP MIFW!1] policy interzone local dmz outbound 
HRP MI[FWI-policy-interzone-local-dmz-outbound] policy 0 
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HRP_M[FW1-policy-interzone-local-dmz-outbound-0] policy destination 10.0.10.30 0.0.0.255 
HRP_M[FWI-policy-interzone-local-dmz-outbound-0] action permit 
HRP_MI[EFW1-policy-interzone-local-dmz-outbound-0] quit 

HRP_ MIFW1-policy-interzone-local-dmz-outbound] quit 

HRP_ MI[FW!1] policy interzone local dmz inbound 
HRP_M[FW1-policy-interzone-local-dmz-inbound] policy 0 

HRP_ MIFW!1-policy-interzone-local-dmz-inbound-0] policy source 10.0. 1030 0.0.0.255 
HRP_M[FW1-policy-interzone-local-dmz-inbound-0] action permit 

HRP_ MI[FW1-policy-interzone-local-dmz-inbound-0] quit 

HRP MI[FW1-policy-interzone-local-dmz-inbound] quit 


# 启用 IPS 功能 ， 并 配置 特征 库 定 时 在 线 升 级 。 


HRP _M[FW1] ips enable 

HRP MIFW1] update schedule ips-sdb enable 
HRP MI[FW1] update schedule weekly sun 02:00 
HRP MI[FW1] update schedule sa-sdb enable 

HRP MI[FW1] update schedule weekly sun 03:00 
HRP_ MI[FW1] undo update confirm ips-sdb enable 
HRP MIFW1 undo update confirm sa-sdb enable 


# 配置 防火 墙 的 DNS 服务 器 地 址 ， 使 防火 墙 能 够 通过 域名 访问 安全 中 心平 台 ， 下 
载 特征 库 。 


HRP_M[FW1] dns resolve 
HRP MI[FW1] dns server 202.106.0.20 


步骤 10 配置 攻击 防范 功能 。 


HRP MIFWI1] firewall defend land enable 

HRP MIFW1] firewall defend smurf enable 

HRP_ MIFW!1] firewall defend fraggle enable 

HRP_M[FW1] firewall defend winnuke enable 

HRP_M[FW1] firewall defend source-route enable 

HRP_M[FW1] firewall defend route-record enable 

HRP_M[FW1] firewall defend time-stamp enable 

HRP MI[FW!1] firewall defend ping-of-death enable 

HRP_ MI[IFW'1] firewall defend syn-flood enable 

HRP M[FW1] firewall defend syn-flood interface GigabitEthernet1/0/1 max-rate 100000 tcp-proxy auto 
HRP MIFW1] firewall defend syn-flood interface GigabitEthernet1/0/2 max-rate 100000 tcp-proxy auto 


【 强 叔 点 评 】 一 般 情 况 下 ， 如 果 对 网 络 安全 没有 特殊 要 求 ， 开 启 以 上 攻击 防范 即 可 。 

对 于 SYN Flood 攻击 防范 ， 建 议 10GE 接口 阔 值 取 值 100000。 

步骤 11 配置 源 NAT 功能 。 

# 在 FW1 上 配置 NAT 地 址 池 isp1l。 

HRP MI[FW1] nat address-group ispl 

HRP MI[FW1-address-group-isp1] mode pat 

HRP_M[FW1-address-group-isp1] section 1.1.1.10 1.1.1.12 

HRP MI[FW1-address-group-isp1] quit 

# 在 FW1l 的 trust 与 ispl 区 域 之 间 配 置 NAT 策略 ， 将 来 自 trust 区 域 用 户 报 文 的 源 
地 址 转换 成 地 址 池 ispl 中 的 地 址 。 


HRP_M[FW1] nat-policy interzone trust ispl outbound 
HRP MI[FW1-nat-policy-interzone-trust-isp1-outbound] policy 0 
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HRP MEFW1-nat-policy-interzone-trust-isp1-outbound-0] action source-nat 
HRP_M[FW1-nat-policy-interzone-trust-isp1-outbound-0] address-group isp1 


# 在 FW1 上 配置 NAT 地 址 池 isp2。 


HRP_M[FW1] nat address-group isp2 

HRP MIFW1-address-group-isp2] mode pat 

HRP MIFW1-address-group-isp2] section 2.2.2.10 2.2.2.12 
HRP MI[FW1-address-group-isp2] quit 


# 在 FW1 的 trust 与 isp2 区 域 之 间 配 置 NAT 策略 ， 将 来 自 trust 区 域 用 户 报 文 的 源 
地 址 转换 成 地 址 池 isp2 中 的 地 址 。 


HRP MIFW1] nat-policy interzone trust isp2 outbound 

HRP M[FW1-nat-policy-interzone-trust-isp2-outbound] policy 0 

HRP MI[FW1-nat-policy-interzone-trust-isp2-outbound-0] action source-nat 
HRP MI[FW1-nat-policy-interzone-trust-isp2-outbound-0] address-group isp2 


# 在 FW1 上 配置 黑洞 路 由 ， 将 NAT 地 址 池 中 的 公 网 地 址 发 布 出 去 。 


HRP_M[EW1] ip route-static 1.1.1.10 32 NULL0 
HRP M[FW1] ip route-static 1.1.1.1132 NULL0 
HRP_M[FW1] ip route-static 1.1.1.12 32 NULL0 
HRP_ MIFW1] ip route-static 2.2.2.10 32 NULL0 
HRP_M[FW1] ip route-static 2.2.2.11 32 NULL 0 
HRP_M[FW!1) ip route-static 2.2.2.12 32 NULL 0 


# 在 FW2 上 配置 黑洞 路 由 ， 将 NAT 地 址 池 中 的 公 网 地 址 发 布 出 去 。 


HRP_S[FW2] ip route-static 1.1.1.10 32 NULL0 
HRP_S[FW2] ip route-static 1.1.1.11 32 NULL0 
HRP_S[FW2] ip route-statie 1.1.1.12 32 NULL 0 
HRP_S[FW2] ip route-statie 2.2.2.10 32 NULL 0 
HRP_S[FW2] ip route-static 2.2.2.11 32 NULL0 
HRP_S[FW2] ip route-static 2.2.2.12 32 NULL 0 


【 强 叔 点 评 】 路 由 的 配置 是 不 备份 的 ， 所 以 需要 在 两 台 防 火 墙 上 分 别 配置 黑洞 路 由 。 
步骤 12 配置 NAT ALG 功能 。 

【 强 叔 点 评 】NAT ALG 与 ASPF 的 配置 命令 一 致 。 

# 分 别 在 trust 区 域 与 isp1、isp2、dmz 区 域 之 间 配 置 NAT ALG 功能 。 


HRP. M[FW1] firewall interzone trust isp1 
HRP M[FW1-interzone-trust-isp1] detect ftp 
HRP MI[FW1-interzone-trust-isp1] detect sip 
HRP_MI[FW1-interzone-trust-isp1] detect h323 
HRP_ MI[FW1-interzone-trust-isp]1] detect mgcp 
HRP_M[FW1-interzone-trust-isp1] detect rtsp 
HRP_M[FWI1-interzone-trust-ispl1] detect qq 
HRP_MIEFEW1-interzone-trust-isp1] quit 

HRP MIFW1] firewall interzone trust isp2 
HRP_M[FW 1-interzone-trust-isp2] detect ftp 
HRP_M[FW1-interzone-trust-isp2] detect sip 
HRP_M[FW1-interzone-trust-isp2] detect h323 
HRP_ MIFW1-interzone-trust-isp2] detect mgcp 
HRP MI[FW1-interzone-trust-isp2] detect rtsp 
HRP MI[IFW1-interzone-trust-isp2] detect qq 
HRP MI[IFW!1-interzone-trust-isp2] quit 
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HRP MIFW1] firewall interzone trust dmz 
HRP M[FW1-interzone-trust-dmz] detect ftp 
HRP MIFW1-interzone-trust-dmz] detect sip 
HRP MEEW1-interzone-trust-dmz] detect h323 
HRP MI[IFW1-interzone-trust-dmz] detect mgcp 
HRP MIFW1-interzone-trust-dmz] detect rtsp 
HRP MEEW1-interzone-trust-dmz] deteet qq 
HRP MIFW1-interzone-trust-dmz] quit 


# 分 别 在 dmz 区 域 与 isp1、isp2 区 域 之 间 配 置 NAT ALG 功能 。 


HRP MIFW1] firewall interzone dmz ispl 
HRP MI[IFW]-interzone-dmz-ispl] detect ftp 
HRP_M[FW!-interzone-dmz-isp1] detect sip 
HRP MIFW1-interzone-dmz-ispl1] detect h323 
HRP MIFW!1-interzone-dmz-ispl] detect mgcp 
HRP_MI[FW1-interzone-dmz-isp1] detect rtsp 
HRP_MI[IFW1-interzone-dmz-isp1] detect qq 
HRP_M[FW1-interzone-dmz-isp1] quit 

HRP M[FW1] firewall interzone dmzisp2 
HRP_M[FW1-interzone-dmz-isp2] detect ftp 
HRP M[FW1-interzone-dmz-isp2] detect sip 
HRP MI[FW!1-interzone-dmz-isp2] detect h323 
HRP MI[IFW1-interzone-dmz-isp2] detect mgcp 
HRP MI[FW1-interzone-dmz-isp2] detect rtsp 
HRP_M[FW1-interzone-dmz-isp2] detect qq 
HRP MIFW1-interzone-dmz-isp2] quit 


步骤 13 配置 NAT Server 和 智能 DNS 功能 。 
# 配置 NAT Server 功能 ,将 Web 服务 器 的 私 网 地 址 分 别 映射 成 供 ISP1 和 ISP2 用 户 
访问 的 公 网 地 址 。 


HRP MIFW1] nat server 1 zone ispl global 1.1.1.1S inside 10.0.10.10 
HRP MIFWI]] nat server 2 zone isp2 global 2.2.2.15 inside 10.0.10.10 


# 配置 NAT Server 功能 , 将 FTP 服务 器 的 私 网 地 址 分 别 映射 成 供 ISP1 和 ISP2 用 户 
访问 的 公 网 地 址 。 

HRP MI[FW1] nat server 3 zone ispl global 1.1.1.16 inside 10.0.10.11 

HRP MIFW1] nat server 4 zone isp2 global 2.2.2.16 inside 10.0.10.11 


# 配置 NAT Server 功能 ， 将 DNS 服务 器 的 私 网 地 址 分 别 映射 成 供 ISP1 和 ISP2 用 
户 访问 的 公 网 地 址 。 


HRP_MI[FW1] nat server 5 zone ispl global 1.1.1.17 inside 10.0.10.20 
HRP_M[FW1] nat server 6 zone isp2 global 2.2.2.17 inside 10.0.10.20 


# 配置 智能 DNS 功能 , 确保 各 个 ISP 的 用 户 访问 内 网 服务 器 时 ， 都 能 够 解析 到 自 己 | 
ISP 为 服务 器 分 配 的 地 址 ， 从 而 提高 访问 速度 。 例 如 使 ISP1 的 用 户 访问 内 网 的 Web 服务 
器 10.0.10.10 时 ， 能 够 解析 到 服务 器 的 ISP1 地 址 1.1.1.15，ISP2 的 用 户 访问 内 网 的 Web 
服务 器 10.0.10.10 时 ， 能 够 解析 到 服务 器 的 ISP1 地 址 2.2.2.15。 

HRP_M[FW1] dns-smart enable 

HRP_M[FW1] dns-smart group 1 type single 


HRP MI[FW1-dns-smart-group-1] real-server-ip 10.0.10.10 
HRP M[FWi1-dns-smart-group-1] out-interface GigabitEthernet 1/0/1 map 1.1.1.1S 
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HRP MIFW1-dns-smart-group-1] out-interface GigabitEthernet 1/0/2 map 2.2.2.15 
HRP MI[FW1-dns-smart-group-1] quit 

HRP MIFW1] dns-smart group 2 type single 

HRP MIFW1-dns-smart-group-2] real-server-ip 10.0.10.11 

HRP_ MI[FW1-dns-smart-group-2] out-interface GigabitEthernet 1/0/1 map 1.1.1.16 
HRP MI[IFWI1-dns-smart-group-2] out-interface GigabitEthernet 1/0/2 map 2.2.2.16 
HRP MI[FW1-dns-smaart-group-2] quit 


# 在 FW1 上 配置 黑洞 路 由 ， 将 NAT Server 后 服务 器 的 公 网 地 址 发 布 出 去 。 


HRP M[FW!I] ip route-static 1.1.1.15 32 NULL0 
HRP_M[FW1] ip route-static 1.1.1.16 32 NULL0 
HRP_M[FW1] ip route-static 1.1.1.1732NULL0 
HRP_MIFW1] ip route-static 2.2.2.15 32 NULL 0 
HRP_M[FW1] ip route-static 2.2.2.16 32 NULL 0 
HRP_M[FW1] ip route-static 2.2.2.17 32 NULL 0 


# 在 FW2 上 配置 黑洞 路 由 ， 将 NAT Server 后 服务 器 的 公 网 地 址 发 布 出 去 。 


HRP_ MI[IFW2] ip route-static 1.1.1.15 32 NULL 0 
HRP MIFEW2] ip route-static 1.1.1.16 32 NULL 0 
HRP_ MI[IFW2] ip route-static 1.1.1.17 32 NULL0 
HRP_ MI[IFW2] ip route-static 2.2.2.15 32 NULL 0 
HRP MI[FW2] ip route-static 2.2.2.16 32 NULL 0 
HRP_MIFW2] ip route-static 2.2.2.17 32 NULL 0 


【 强 叔 点 评 】 路 由 的 配置 是 不 备份 的 ， 所 以 需要 在 两 台 防 火 墙 上 分 别 配置 黑洞 路 由 。 

步骤 14 配置 NAT 溯源 和 IM 日 志 功能 。 

【 强 叔 点 评 】NAT 溯源 功能 是 查看 NAT 转换 前 后 的 地 址 信息 。 我 们 的 实现 方式 是 通 
过 防火 墙 上 配置 审计 功能 生成 会 话 日 志 ， 然 后 将 会 话 日 志 输 出 到 日 志 主 机 上 。 在 日 志 主 
机 上 , 我 们 可 以 通过 网 管 系统 eSight 查看 这 些 会 话 日 志 ， 从 而 查看 NAT 转换 前 后 的 地 址 
信息 。 

# 在 FW1 上 配置 向 日 志 主机 〈10.0.10.30) 发 送 会 话 日 志 (端口 9002)。 这 里 需要 
在 trust 与 isp、isp2 间 的 双方 向 都 配置 审计 策略 。 


HRP MI[FW1] firewall log source 10.0.5.1 9002 

HRP_M[FW1] firewall log host 2 10.0.10.30 9002 

HRP M[FW1] audit-policy interzone trust ispl outbound 

HRP_ MIFW!]1-audit-policy-interzone-trust-ispl-outbound] poliey 0 

HRP MI[FEW1-audit-policy-interzone-trust-isp1-outbound-0] action audit 
HRP MI[IEFEW1-audit-policy-interzone-trust-isp1-outbound-0] quit 
HRP_MI[FW1-audit-policy-interzone-trust-isp1-outbound] quit 

HRP MI[IFW!1] audit-policy interzone trust ispl inbound 
HRP_M[FW1-audit-policy-interzone-trust-isp1-inbound] policy0 
HRP_M[FW1-audit-policy-interzone-trust-isp1-inbound-0] action audit 
HRP_MIFW1-audit-policy-interzone-trust-isp1-inbound-0] quit 

HRP MIFW1-audit-policy-interzone-trust-ispl-inbound] quit 
HRP_M[FW1] audit-policy interzone trust isp2 outbound 
HRP_M[FW1-audit-policy-interzone-trust-isp2-outbound] policy 0 

HRP MIFW1-audit-policy-interzone-trust-isp2-outbound-0] action audit 
HRP_ MI[FW1-audit-policy-interzone-trust-isp2-outbound-0] quit 

HRP MI[FW1-audit-policy-interzone-trust-isp2-outbound] quit 

HRP MIEFW1] audit-policy interzone trust isp2 inbound 

HRP MI[FW1-audit-policy-interzone-trust-isp2-inbound] policy 0 
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HRP MIFWI-auditrpoliey- erzone-trust-isp2-inbound-0] action audit 
HRP_M[FW1-audit-policy-interzone-trust- 1 inbouind.0] oe 
HRP_MIFW1-audit-policy-interzone-trust-isp2-inbound] quit 


# 在 FW1 上 启用 IM 日 志 发 送 功能 。 

HRP M[FW1] firewall iog im enable 

# 上 面 的 日 志 配 置 都 会 由 FW1 备份 到 FW2。 日志 源 地 址 的 配置 是 不 备份 的 ， 因 此 
我 们 需要 在 FW2 上 配置 日 志 源 地 址 。 

HRP SIFW2] firewall log source 10.0.6.1 9002 


# 在 FW1 上 配置 SNMP， 使 FW1 与 eSight 对 接 。eSight 上 的 SNMP 参数 需要 与 FW1 
上 保持 一 致 。 

HRP MIFW1] snmp-agent sys-info v3 

HRP_M[FW1] snmp-agent group v3 NMS1 privacy 


HRP_ M[FW1] snmp-agent usm-user v3 adminl NMS1 aathentication-mode md5 Admin@123 pearao aes256 
Admin@123 


# SNMP 的 配置 是 不 备份 的 ， 因此 我 们 需要 在 FW2 上 配置 SNMP, 使 FW?2 与 eSight 
对 接 。eSight 上 的 SNMP 参数 需要 与 FW2 上 保持 一 致 。 

HRP >_S[FW2] snmp-agent sys-info v3 

HRP_S[FW2] snmp-agent group v3 NMS1 privacy 


RSUEW mp agoot vem ser YS adminl NMS! suthenteaton-mode nd5 Aminl@4s6 privaaraade as 
Admin@456 


# eSight 配置 完成 后 ， 在 eSight 上 选择 “业务 -> 安全 业务 ->LogCenter-> 日 志 分 析 -> 
会 话 分 析 ->IPv4 会 话 日 志 ”, 可 以 查看 会 话 日 志 ; 选择 “分 析 -> 网 络 安全 分 析 -> 即 时 通信 ”， 
可 以 查看 IM 日 志 





12.4 ”拍案 惊奇 


。 此 案例 的 惊奇 之 处 在 于 描述 了 防火 墙 在 广电 网 络 的 Internet 出 口 处 的 典型 应 用 。 
如 果 您 想 在 广电 网 络 出 口 部 署 防火 墙 ， 完 全 可 以 借鉴 此 案例 。 

。 此 案例 的 另 一 惊奇 之 处 在 于 诠释 了 双 机 热 备 的 经 典 组 网 :“ 防 火 墙 上 行 连接 交换 
机 ， 下 行 连接 路 由 器 ”。 我们 可 以 借 此 理解 双 机 热 备 的 典型 应 用 。 

。 此 案例 的 最 大 惊奇 之 处 在 于 展现 了 防火 墙 作为 网 关 的 多 出 口 选 路 能 力 , 包括 : ISP 
选 路 、 智 能 选 路 、 策 略 路 由 和 智能 DNS 等 功能 。 

。 此 案例 的 又 一 惊奇 之 处 在 于 体现 了 防火 墙 的 应 用 识别 和 控制 能 力 。 防 火 墙 不 仅 能 
够 识别 端口 信息 ,还 能 够 识别 各 种 应 用 ， 并且 能 够 根据 应 用 进行 访问 控制 、 策 略 
路 由 和 流量 控制 。 
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13.1 组 网 需求 


如 图 13-1 所 示 ， 体 育 场馆 网 络 出 口 处 部 署 两 台 防 火 墙 (USG6680 V100R001C20 版 
本 ) 作为 出 口 网 关 ， 为 内 网 用 户 提供 宽带 上 网 业务 。 两 台 防 火 墙 连接 到 同一 运营 商 ， 其 
中 FW1 连接 的 是 运营 商 的 国内 链 路 ，FW2 连接 的 是 运营 商 得 国际 链 路 。 





2 
国 < 人 > 区 5 全 国际 关口 
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西区 : 东区 
图 13-1 体育 场馆 解决 方案 组 网 图 


体育 场馆 内 部 的 数据 中 心 出 口 处 也 部 署 了 两 台 防 火 墙 (USG6680 V100R001C20 版 
本 )， 用 于 保护 数据 中 心服 务 器 的 安全 。 


体育 场馆 对 出 口 防 火 墙 的 具体 需求 如 下 。 
(1) 防火 墙 作为 出 口 网 关 与 运营 商 的 路 由 器 之 间 运 行 BGP, 与 内 部 的 路 由 器 之 间 运 
行 OSPF。 


(2) 两 台 防 火 墙 组 成 双 机 热 备 组 网 ， 提 升 网 络 可 靠 性 。 
(3) 为 保证 场馆 内 的 多 个 用 户 能 够 同时 上 网 ， 需 要 在 防火 墙 上 部 署 NAT 功能 。 
(4) 为 保证 内 部 网 络 安全 ， 只 允许 内 网 用 户 访问 外 网 ， 并 且 需 要 在 防火 墙 上 部 署 
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IPS、AV、URL 过 滤 等 安全 功能 。 

体育 场馆 对 内 部 数据 中 心 防火 墙 的 具体 需求 如 下 。 

(1) 防火 墙 以 透明 模式 〈 业 务 接口 工作 在 二 层 ) 部 署 到 路 由 器 与 数据 中 心 交 换 机 
之 间 。 

(2) 两 台 防 火 墙 组 成 双 机 热 备 组 网 ， 提 升 网 络 可 靠 性 。 

(3) 为 保证 数据 中 心 网 络 安全 ， 只 允许 内 网 用 户 访问 数据 中 心 的 服务 器 ， 并 且 需 要 
在 防火 墙 上 部 署 IPS 和 AV 功能 。 


13.2 ” 强 叔 规划 一 一 出 口 防火 墙 


13.2.1 BGP 规划 


场馆 选择 同一 个 运营 商 的 不 同 级 别 的 节点 去 接 入 Internet。 如 最 开始 提 到 的 两 条 ISP 
链 路 ， 一 条 为 国内 链 路 ， 连 接 国 内 关口 局 ， 另 一 条 为 国际 链 路 ， 连 接 国际 关口 局 。 国 内 
关口 局 会 通过 BGP 发 布 国内 明细 路 由 给 场馆 ， 国 际 关口 局 会 发 布 国际 明细 路 由 给 场馆 ， 
实现 场馆 用 户 访问 不 同 地 点 的 Internet 站 点 时 能 够 选择 最 优 的 路 径 。 


[0 说 明 
本 案例 中 的 国内 和 国际 双 链 路 在 海外 国家 比较 常见 。 


13.2.2” OSPF 规划 


1. 在 OSPF 中 引入 BGP 

IGP 路 由 表 容 量 较 BGP 路 由 表 容 量 小 很 多 ， 无 法 容纳 Internet 路 由 表 条 目 ， 不 能 直 
接 将 BGP 路 由 全 部 引入 IGP。 所 以 引入 方式 为 : 在 OSPF 中 通过 执行 命令 default-route- 
advertise 引入 运营 商 路 由 器 通告 的 默认 路 由 。 

2. OSPF 发 布 的 网 段 

出 口 防火 墙 与 下 行 的 内 网 路 由 器 之 间 运 行 OSPF， 所 以 需要 在 防火 墙 的 OSPF 中 发 

布 内 网 接口 网 段 路 由 。 这 里 需要 注意 以 下 两 点 。 

e 由 于 同一 网 段 只 有 防火 墙 和 内 网 路 由 器 这 两 台 设 备 运 行 OSPF， 所 以 可 以 配置 
OSPF 的 network-type 为 P2P 类 型 。 因 为 OSPF 需要 一 个 DR 选举 的 过 程 ， 大 概 
需要 十 几 秒 的 时 间 ， 然而 两 台 设 备 直 接 相连 不 用 选举 DR， 所 以 可 以 配置 P2P 类 
型 ， 减 少 这 个 DR 选举 的 时 间 。 另 外 ，P2P 类 型 的 OSPF 报 文 都 是 组 播报 文 ， 不 
受 安全 策略 控制 。 

。 防火 墙 心跳 线 只 用 于 备份 配置 命令 和 状态 信息 , 不 跑 业 务 , 所 以 心跳 线 地 址 网 段 
不 需要 在 OSPF 路 由 中 发 布 。 

3. 加快 路 由 收敛 

需要 在 出 口 防火 墙 和 内 网 路 由 器 上 部 署 BFD 与 OSPF 联动 功能 。 
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13.2.3” 双 机 热 备 规划 


1 


双 机 热 备 组 网 选择 


出 口 防火 墙 上 行 连接 运营 商 路 由 器 ， 下 行 连 接 内 部 路 由 器 ， 这 是 一 种 “防火 墙 业 
务 接口 工作 在 三 层 ， 上 下 行 连接 路 由 器 ”的 典型 双 机 热 备 组 网 ， 略 有 区 别 的 是 在 这 种 组 
网 中 ， 防 火 墙 与 上 行路 由 器 之 间 运 行 BGP， 与 下 行路 由 器 之 间 运 行 OSPF。 在 这 种 组 网 
中 我 们 使 用 VGMP 组 直接 监控 业务 接口 。 


2 


双 机 热 备 方案 选择 


本 案例 选择 的 是 负载 分 担 方式 的 双 机 热 备 ， 主 要 基于 以 下 两 点 考虑 。 


内 网 访问 Internet 的 流量 比较 大 。 由 于 每 台 出 口 防 火 墙 需 要 开启 IPS、AV 和 NAT 
等 功能 ， 转 发 性 能 会 有 一 定 程度 的 下 降 ， 所 以 内 网 访问 Internet 的 流量 有 可 能 超 
过 一 条 链 路 的 承受 能 力 。 这 时 就 需要 选择 负载 分 担 方式 ， 使 两 条 链 路 都 转发 流量 ， 
保证 业务 正常 运行 。 

运营 商 提供 了 一 条 国际 链 路 ， 一 条 国内 链 路 。 如 果 选 择 主 备 备 份 方式 ， 必 然 有 一 
条 链 路 会 闲置 ， 而 且 流 量 也 不 能 选择 最 优 的 路 径 。 


13.2.4 ”安全 功能 规划 
出 口 防火 墙 主 要 部 署 了 以 下 安全 功能 。 


安全 区 域 : 一 般 情况 下 ， 我 们 会 把 连接 外 网 的 接口 加 入 untrust 区 域 ， 把 连接 内 
网 的 接口 加 入 trust 区 域 。 

安全 策略 : 为 保证 内 部 网 络 安全 ,场馆 只 允许 内 网 用 户 访问 外 网 ， 所 以 我 们 需要 
在 出 口 防火 墙 部 署 安 全 策略 ， 人 允许 trust 区 域 访 问 untrust 区 域 。 

IPS: 为 了 防止 僵尸 木马 蠕虫 的 入 侵 ， 需 要 在 出 口 防火 墙 上 部 署 IPS 功能 。 本 案 
例 使 用 缺 省 的 配置 文件 ias， 即 只 对 入 侵 报 文 产生 告警 ， 不 阻 断 。 如 果 对 安全 性 
要 求 不 是 很 高 ， 为 了 降低 IPS 误 报 的 风险 ， 建 议 选择 ids 配置 文件 。 

AV: 为 了 防止 病毒 入 侵 ， 需 要 在 出 口 防火 墙 上 部 署 AV 功能 。 本 案例 使 用 缺 省 的 配 
置 文件 default。 在 初始 部 署 防火 墙 时 , 一 般 情 况 下 , 选择 缺 省 的 AV 配置 文件 default 
即 可 。 防 火 墙 运行 一 段 时 间 后 ， 管 理 员 可 以 根据 网 络 运行 状况 ， 自 定义 配置 文件 。 
URL 过 滤 : 为 了 对 内 外 用 户 的 上 网 行为 进行 管理 , 需要 在 出 口 防火 墙 上 部 署 URL 
过 滤 功 能 。 本 案例 使 用 的 是 自 定义 配 置 文件 url filtering。url filtering 定义 了 对 
特定 小 类 的 URL 进行 阻 断 ， 可 以 禁止 内 网 用 户 访问 特定 的 网 站 ;，url filtering 还 
对 特定 小 类 的 URL 进行 QoS 优先 级 标记 , 便于 上 下 行路 由 器 对 这 些 网 址 进行 流 
量 控制 (QoS)。 


13.2.5 ”NAT 规划 


为 了 保证 内 网 海量 用 户 能 够 通过 有 限 的 公 网 IP 访问 Intemet， 需 要 在 出 口 防火 墙 上 
部 署 NAT 功能 。 


1 


申请 的 公 网 地 址 个 数 


防火 墙 的 出 接口 和 NAT 地 址 池 中 的 地 址 都 是 向 运营 商 申 请 的 公 网 地 址 。NAT 地 址 
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池 部 署 中 ， 需 要 考虑 向 运营 商 申请 的 公 网 地 址 个 数 ， 考 虑 因素 包括 : 
。 每 个 公 网 地 址 可 以 转换 的 应 用 个 数 ; 
。 根据 现场 流量 模型 ， 估 算 每 个 用 户 并 发 应 用 个 数 ; 
。 并 发 用 户 个 数 。 
下 面 来 举例 说 明 。 
。 经 验 数据 : 在 本 案例 实际 应 用 场景 下 ， 每 个 公 网 地 址 可 以 转换 6 万 个 应 用 ， 每 个 
用 户 平均 并 发 10 个 应 用 。 
。 假设 并 发 用 户 有 4.8 万 人 ， 根 据 上 述 经验 数 据 ， 需 要 8 个 公 网 地 址 。 同 时 建议 申 
请 公 网 地 址 时 考虑 见 余 ， 所 以 建议 在 上 述 情况 下 申请 10 个 公 网 地 址 。 
2. NAT ALG 保证 多 通道 协议 的 NAT 转换 
当 防 火 墙 既 开启 NAT 功能 ， 又 需要 转发 多 通道 协议 报 文 〈 例 如 FTP 等 ) 时 ， 必 须 
开启 相应 的 NAT ALG 功能 。 本 案例 主要 应 用 了 FTP、SIP 和 H323 这 三 种 多 通道 协议 ， 
所 以 需要 开启 这 三 种 协议 的 NAT ALG 功能 。 


13.2.6 ”来 回路 径 不 一 致 规划 


由 于 我 们 在 防火 墙 上 配置 了 IPS 和 AV 功能 ， 而 IPS 和 AV 功能 需要 检测 一 系列 报 
文 ， 所 以 为 了 保证 IPS 和 AV 检测 的 准确 性 ， 我 们 需要 确保 报 文 来 回路 径 的 一 致 性 。 即 
如 果 内 网 用 户 访问 Internet 的 报 文 是 通过 FW1 (FW2) 转发 出 去 的 ， 那 么 要 求 他 的 回程 
报 文 也 必须 通过 FW1 (FW2) 转发 回来 。 

而 FW1 和 FW2 之 间 是 负载 分 担 方式 的 双 机 热 备 ， 两 台 防 火 墙 都 会 转发 流量 ， 这 就 
有 可 能 造成 来 回路 径 不 一 致 。 所 以 我 们 必须 进行 一 些 巧 钞 的 配置 ， 保 证 报 文 的 来 回路 径 
一 致 。 

首先 我 们 要 保证 西区 (东区 ) 用 户 访问 Internet 的 报 文 都 转发 到 FW1 (FW2) 上 来 ， 
然后 在 FW1 (FW2) 上 将 源 地 址 NAT 转换 为 地 址 池 natpooll (Cnatpool2) 中 的 地 址 。 为 
此 我 们 需要 进行 如 下 配置 。 

(1) 我 们 在 内 网 路 由 器 的 每 个 下 行 子 接口 上 都 配置 两 个 VRRP 备份 组 ， 形 成 负载 分 
担 〈 互 为 主 备 ) 状态 ， 并 将 西区 用 户 的 网 关 设 置 为 VRRP 备份 组 1 的 地 址 ， 东 区 用 户 的 
网 关 设 置 为 VRRP 备份 组 2 的 地 址 。 这 样 西区 用 户 的 流量 都 会 转发 到 Routerl1， 进 而 转 
发 到 FW1; 东区 用 户 的 流量 都 会 转发 到 Router2， 进 而 转发 到 FW2。 

(2) 我 们 将 申请 到 的 公 网 地 址 一 分 为 二 ， 放 到 两 个 NAT 地 址 池 中 natpooll 和 natpool2 
中 。 然 后 配置 两 条 NAT 策略 的 规则 nat policyl 和 nat policy2， nat policyl 中 的 源 地 
址 为 西区 用 户 的 地 址 ， 引 用 natpool1; nat policy2 中 的 源 地 址 为 东区 用 户 的 地 址 ， 引 用 
natpool2。 我 们 只 需 在 FW1 上 配置 即 可 ，NAT 地 址 池 和 策略 的 配置 都 会 被 同步 到 
FW2 上 。 

这 样 当 西 区 用 户 的 报 文 到 达 FW1 后 ， 报 文 的 源 地 址 会 被 转换 成 natpooll 中 的 地 址 ; 
东区 用 户 的 报 文 到 达 FW2 后 ， 报 文 的 源 地 址 会 被 转换 成 natpool2 中 的 地 址 。 而 当 FW1 
故障 后 ,东区 用 户 和 西区 用 户 的 报 文 都 会 转发 到 FW2 上 。 由 于 FW2 上 存在 两 条 NAT 规 
则 ， 所 以 东西 区 用 户 的 报 文 也 都 能 够 顺利 转换 成 相应 地 址 。 

然后 我 们 需要 保证 西区 〈 东 区 ) 用 户 访问 Interet 的 回程 报 文 都 能 转发 到 FW1 (FW2) 
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上 来 。 这 点 我 们 需要 通过 路 由 策略 来 控制 BGP 的 MED 值 来 实现 。 为 此 我 们 需要 进行 如 
下 配置 。 

(1) 我 们 需要 将 两 个 NAT 地 址 池 中 的 网 段 在 BGP 路 由 中 发 布 出 去 ， 保 证 报 文 能 够 
回程 。NAT 地 址 池 的 发 布 一 般 通 过 黑洞 路 由 来 实现 ， 本 案例 的 做 法 是 先 通过 黑洞 路 由 发 
布 ， 然 后 在 BGP 路 由 中 引入 这 些 黑洞 路 由 。 

(2) 我 们 需要 在 FW1 上 配置 路 由 策略 ， 让 到 达 natpool2 中 地 址 的 路 由 开销 (BGP 
MED 值 ) 增 大 。 这 样 在 正常 情况 下 ， 去 往 natpool2 中 地 址 的 报 文 就 不 会 到 达 FW1， 而 
是 通过 路 由 开销 值 小 的 链 路 到 达 FW2。 同 理 我 们 在 FW2 上 配置 路 由 策略 ， 让 到 达 
natpooll 中 地 址 的 路 由 开销 (BGP MED 值 ) 增 大 ;这样 去 往 natpooll 中 地 址 的 报 文 就 不 
会 到 达 FW2， 而 是 通过 路 由 开销 值 小 的 链 路 到 达 FW1。 

通过 以 上 的 配置 ， 我 们 就 可 以 保证 报 文 的 来 回路 径 一 致 ， 从 而 保证 IPS 和 AV 功能 
检测 的 准确 性 。 


13.3” 强 叔 规 划一 一 数据 中 心 防火 墙 


13.3.1 双 机 热 备 规 划 


数据 中 心 防火 墙 透 明 部 署 到 数据 中 心 网 络 出 口 处 ， 上 行 连接 路 由 器 ， 下 行 连接 数据 
中 心 内 的 三 层 交 换 机 (可 以 看 成 路 由 器 )。 这 是 一 种 “防火 墙 业务 接口 工作 在 二 层 ， 上 
下 行 连接 路 由 器 ”的 典型 双 机 热 备 组 网 。 在 这 种 组 网 中 ， 防 火 墙 的 上 行路 由 器 和 下 行 三 
层 交 换 机 之 间 运 行 OSPF， 防 火 墙 不 参与 到 OSPF 路 由 计算 中 来 。 防 火 墙 的 VGMP 组 通 
过 VLAN 监控 业务 接口 。 


13.3.2 ”安全 功能 规划 


数据 中 心 防火 墙 主要 部 署 了 以 下 安全 功能 。 

。 安全 区 域 : 本 案例 中 ,数据 中 心 区 域 的 安全 级 别 更 高 ， 所 以 我 们 需要 把 连接 核心 
路 由 器 的 接口 加 入 untrust 区 域 ， 连 接 数据 中 心 的 接口 加 入 trust 区 域 。 

。 安全 策略 : 为 保证 数据 中 心 的 安全 , 场馆 只 允许 内 网 用 户 访问 数据 中 心服 务 器 的 
特定 端口 ， 所 以 我 们 需要 在 数据 中 心 防火 墙 上 部 署 安全 策略 ， 人 允许 untrust 区 域 
访问 trust 区 域 的 特定 服务 器 的 特定 端口 。 

。 ASPF: 为 了 保证 多 通道 协议 能 够 通过 ， 需 要 配置 ASPF 功能 。 本 案例 主要 应 用 了 
FTP、SIP 和 H323 这 三 种 多 通道 协议 , 所 以 需要 开启 这 三 种 协议 的 ASPF 功能 。 

。 IPS: 为 了 防止 僵尸 木马 蜂 虫 的 入 侵 ， 需 要 部 署 IPS 功能 。 与 出 口 防火 墙 不 同 的 
是 ,数据 中 心 防 火 墙 的 安全 性 要 求 更 高 ,所 以 使 用 的 缺 省 的 IPS 配置 文件 default。 
IPS 配置 文件 default 会 阻 断 网 络 中 的 入 侵 行 为 。 

。 AV: 为 了 防止 病毒 ， 需 要 部 署 AV 功能 ， 本 案例 使 用 的 是 缺 省 的 AV 配置 文件 
default。 

在 最 初 部 署 IPS 和 AV 功能 时 ， 我 们 可 以 先 使 用 缺 省 的 配置 文件 default。 防 火 墙 运 
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行 一 段 时 间 后 ， 我 们 可 以 根据 网 络 流量 情况 和 日 志 信 息 调整 I PS 和 AV 的 配置 ， 自 定义 
更 符合 现 网 情况 的 配置 文件 。 


13.4 配置 步骤 一 一 出 口 防 火 墙 


步骤 1 配置 接口 的 卫 地 址 ， 并 将 接口 加 入 安全 区 域 。 
# 配置 FW1 站 网 接口 GE1/0/8 的 了 P P 好 让 种 掀 可 息 。 


Hate Giga ton om 
[FW1-GigabitEthemet1/0/8] ip address 192. 168.166.35 Ja 
[FW1-GigabitBthernet1/0/8] Wow to oe 192.168.16634 


， [FW1-GigabitEthemet1/0/8] quit 
# 配置 FW1 的 外 网 接口 GE1/0/9 的 IP ,地址 和 朱玉 信 各 






IFWIlinterfaee GigabitEthernet /09 ， 
[FWI-GigabitEthemetl/0/9] ip address 5.1.1.90 255.255.255.252 
i ; | 


[FWI-Gigabitthemetl/0/9] quit 
# 配置 FW1 的 GE3/0/8 和 GE3/0/9 组 成 必 1 口 Eth-Trunkl， 并 本 时 pO IP p 地 址 . 

















ro 
on 












-eol oak 
-GigabitEthernet3/0/8] aeseripton to Fa Ginbtpahemeaml 
[FWI-GigabitBthemet3/0/8] quit 
[FEW1] interface GigabitEthernet 3109 
， bitEt rnet3/0/9] eth-trunk 1 ~ 
， bitEthernet3/ anenpton ohGinbtpemoaag 

~ [FW1l-Gigabitethemet3/0/9] quit 

# 配置 FWI1 Era niin 











# be FW2 的 内 网 接口 GE1/0/8 bh IP 地 址 重信 息 。 
[EW interface Gigabitethernet 1/0/8 ， 
rne 1/0/8] ip address 192.168.166.19 255.255.255.248 


| rw Ginbinnened On] dsdpton toRLGHbEdrnetl 192.168.16618 
~ [FW2-GigabitEthernet1/0/8] quit 
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# 配置 FW2 的 外 网 接口 GE1/0/9 的 IP 地址 和 描述 信 息 。 


[FW2] interface GigabitEthernet 1/0/9 0 

下 W2-GigabitEthemetl/0/9] ip address 5.1.1.94255.255.255.252 | 
[FW2-GigabitEthernet1/0/9] description to ISP-International 
[FW2-GigabitEthernetl/0/9] quit 


# 配置 FW2 的 GE3/0/8 和 GE3/0/9 组 成 心跳 口 Eth-Trunkl1， 并 配置 心跳 口 IP 地 址 。 


[FW2] interface Eth-Trunkl 
[FW2-Eth-Trunk1] ip address 1. 1 1 1 255.255. 255.252 
[FW2-Eth-Trunk1] description to hrp 
[FW2-Eth-Trunk!] quit 
‘ [FW2] interface GigabitEthernet 3/0/8 
[FW2-GigabitEthernet3/0/8] eth-trunkl 
[FW2-GigabitEthernet3/0/8] aeniptontoFWiGipnbiptherneag 
[FW2-GigabitEthemet3/0/8] amt 
[FW2] interface GigabitEthernet 3/0/9 
[FW2-GigabitEthernet3/0/9] eth-trunk 1 
[FW2-GigabitEthemet3/0/9] description to TFWiGenhgaemeao 
[FEW2-GigabitEthernet3/0/9] quit 


# 配置 FW2 的 各 接口 加 入 相应 的 安全 区 域 。 


[FW2] firewall zone trust 
~ [FW2-zone-trust] add interface GlenhitihernetL OS 
[FW2-zone-trust] qutt 
[FW2] firewall zone untrust 9 © 
[FW2-zone-untrust] add interface Gigabitetheret /0 
~ [FW2-zone-untrust] quit 0 、 
[FW2]firewallzone dmz 
[FW2-zone-dmz] add interface Www 
[FW2-zone-dmz] quit 


步骤 2 配置 BGP。 
# 在 FW1 上 配置 BGP， 包括 配置 对 等 体 ， 下 


[FEW1] bgp 65010 

FwWl-bgp] router-id 5.1.1.90 

[FEW1-bgp] peer 5.1.1.89 as-number 2082S 

[FW1-bgp] peer 5.1.1.89 password cipher Admin@1234 

~ [FWI-bgp] ipv4-family unicast 0 
~ [FW1-bgp-af-ipv4] network 5. L18255255255252 | 
[FWl-bgp-af-ipv4] import-route static 

[FW!1-bgp-af-ipv4] peer 5.1.1.89 enable 


# 在 FW2 上 配置 BGP， 包括 配置 对 等 体 ， 发 布 相信 sh iil 


[FW2] bgp 65010 
[FW2-bgp] i router-id 5.1.1.94 
[FW2-bgp] peer 5. 1.1.93 as-number 20825 
[FW2-bgp] peer 5.1.1.93 password cipher Admmin@1234 
[FW2-bgp] ipv4-family unicast | ; 
[FW2-bgp-af-ipv4] network 5.1.1.92 255255.255252 
: [FW2-bgp-af-ipv4] import-route static | 
[FW2-bgp-af-ipv4] peer 5.1.1.93 enable 


步骤 3 配置 路 由 策略 。 
# 在 FW1 上 配置 地 址 前 级 W2， 过 滤 出 5.1.1.152/29 网 段 的 卫 〈5$.1.1.153 一 $.1.1.158 ) 。 
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{FWI] ip ip-prefix W2 index 10 permit $5.1.1.152 29 greater-equal 29 less-equal 29 


# 在 FW1 上 配置 路 由 策略 W2, 设置 源 地 址 为 5.1.1.153 一 5.1.1.158 的 报 文 开销 值 为 
300， 其 余 源 地 址 的 报 文 开销 不 变 。 


[FWI1] route-policy W2 permit node 10 
[FWi-route-policy] if-match ip-prefix W2 
[FW1-route-policy] apply cost 300 
[FW1-route-policy] quit 

[FW1] route-policy W2 permit node 20 


# 在 FW2 上 配置 地 址 前 级 N1, 过 滤 出 5.1.1.144/29 网 段 的 IP(5.1.1.145 一 5.1.1.150)。 
[FW2] ip ip-prefix N1 index 10 permit 5.1.1.144 29 greater-equal 29 less-equal 29 


# 在 FW2 上 配置 路 由 策略 N1， 设 置 源 地 址 为 5.1.1.145 一 5.1.1.150 的 报 文 开销 值 为 
300， 其 余 源 地 址 的 报 文 开销 不 变 。 


[FW2] route-policy N1 permit node 10 
[FW2-route-policy] if-mateh ip-prefix N1 
[FW2-route-policy] apply cost 300 
[FW2-route-policy] quit 

[FW2] route-policy N1 permit node 20 


步骤 4 配置 OSPF。 
# 在 FW1 上 配置 OSPF， 包 括 引 入 默认 路 由 ， 启 用 BFD， 发 布 网 段 。 


[FW1] ospf 1 

[FW1-ospf-1] default-route-advertise always 
[FW1-ospf-1] bfd all-interfaces enable 
[FWi1-ospf-l]area0 

{FW1-ospf-1-area-0.0.0.0] network 192.168.166.32 0.0.0.7 
[FW1-ospf-1-area-0.0.0.0] quit 

[FW1-ospf-1] quit 


# 在 FW1 上 启用 BFD 功能 。 


[FWI1] bfd 
[FW1-bfd] quit 


# 在 FW1 的 GE1/0/8 接口 上 配置 OSPF 网 络 类 型 为 P2P。 


[FW1] interface GigabitEthernet1/0/8 
[FW1-GigabitEthernet1/0/8] ospf network-type p2p 


# 在 FWI1 的 GE1/0/8 接口 上 配置 BFD 与 OSPF 联动 。 


[FW!1-GigabitEthermmet1/0/8] ospf bfd enable 
[FW!1-GigabitEthemet1/0/8] ospf bfd min-tx-interval 100 min-rx-interval 100 
[FW1-GigabitEthernet1/0/8] quit 


# 在 FW2 上 配置 OSPF， 包 括 引 入 默认 路 由 ， 启 用 BFD， 发 布 网 段 。 


[FW2] ospf 1 

[FW2-0spf-1] default-route-advertise always 

[FW2-0spf-1] bfd all-interfaces enable 

[FW2-0spf-1] area 0 

[FW2-0spf-1-area-0.0.0.0] network 192.168.166.16 0.0.0.7 
‘ [FW2-0spf-1-area-0.0.0.0] quit 

[FW2-0spf-1] quit 
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# 在 FW2 上 启用 BFD 功能 。 


[FW2] bfd 
[FW2-bfd] quit 


# 在 FW2 的 GE1/0/8 接口 上 配置 OSPF 网 络 类 型 为 P2P。 


[FW2] interface GigabitEthernet1/0/8 
[FW2-GigabitEthernet1/0/8] ospf network-type p2p 


# 在 FW2 的 GE1/0/8 接口 上 配置 BFD 与 OSPF 联动 。 


[FW2-GigabitEthernet1/0/8] ospf bfd enable 
[FW2-GigabitEthernet1/0/8] ospf bfd min-tx-interval 100 min-rx-interval 100 
[FW2-GigabitEthemet1/0/8] quit 


步 又 5 配置 双 机 热 备 功能 。 


# 在 FW1 上 配置 Active 组 和 Standby 组 同时 监控 接口 GE1/0/8， 同 时 配置 Link-Group， 
加 快 收敛 速度 。 


[FW1] interface GigabitEthernet1/0/8 
[FW1-GigabitEthemet1/0/8] hrp track active 
[FEWil-GigabitEthernet1/0/8] hrp track standby 
[FW1-GigabitEthernetl/0/8] link-group 1 
[FW1-GigabitEthernet1/0/8] quit 


# 在 FW1 上 配置 Active 组 和 Standby 组 同时 监控 接口 GE1/0/9， 同 时 配置 Link- 
Group， 加 快 收敛 速度 。 


[FW!1] interface GigabitEthernet1/0/9 
[FW1-GigabitEthernet1/0/9] hrp track active 
[FW1-GigabitEthernet1/0/9] hrp track standby 
[FW1-GigabitEthernet1/0/9] link-group 1 
[FW1-GigabitEthernet1/0/9] quit 


# 在 FW1 上 指定 心跳 口 ， 配 置 会 话 快速 备份 ， 启 用 双 机 热 备 功能 。 


[FEW1] hrp interface Eth-Trunkl 
[FW1] hrp mirror session enable 
[FWI1] hrp enable 


# 在 FW2 上 配置 Active 组 和 Standby 组 同时 监控 接口 GE1/0/8， 同 时 配置 Link- 
Group， 加 快 收敛 速度 。 


[FW2] interface GigabitEthernet1/0/8 
[FW2-GigabitEthernet1/0/8] hrp track active 
[FW2-GigabitEthernet1/0/8] hrp track standby 
[FW2-GigabitEthermet1/0/8] link-group 1 
[FW2-GigabitEthernet1/0/8] quit 


# 在 FW2 上 配置 Active 组 和 Standby 组 同时 监控 接口 GE1/0/9， 同 时 配置 Link- 
Group， 加 快 收敛 速度 。 


[FW2] interface GigabitEthernet1/0/9 
[FW2-GigabitEthernet1/0/9] hrp track active 
[FW2-GigabitEthernet1/0/9] hrp track standby 
[FW2-GigabitEthernet1/0/9] link-group 1 
[FW2-GigabitEthernet1/0/9] quit 
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# 在 FW2 上 指定 心跳 口 ， 配 置 会 话 快速 备份 ， 启 用 双 机 热 备 功能 。 
[FW2] hrp interface Eth-Trunkl 
{FW2] hrp mirror session enable 
[FW2] hrp enable 
【 强 叔 点 评 】 双 机 热 备 状态 成 功 建立 后 ， 大 部 分 配置 都 能 够 备份 。 所 以 在 下 面 的 步 
又 中 ， 我 们 只 需 在 主 用 设备 FW1 上 配置 即 可 (有 特殊 说 明 的 配置 除外 )。 
步骤 6 配置 NAT 功能 。 
# 在 FW1 上 配置 NAT 地 址 池 natpooll 。 
HRP_A[FW1] nat address-group natpooll 
HRP_A[FW1-nat-address-group-natpool1] section 0 5.1.1.145 5.1.1.150 
HRP_A[FW1-nat-address-group-natpooll] quit 
# 在 FW1 上 配置 NAT 策略 nat policy1， 将 来 自 10.0.0.0/16 网 段 的 报 文 的 源 地 址 转 
换 成 地 址 池 natpooll 中 的 地 址 。 
HRP A[FW!] nat-policy 
， ”HRP_A[FW1-policy-nat] rule name nat petieyl 
HRP_A[FW1-policy-nat-rule-nat_policy1] source-address 10.0.0.0 16 
~ HRP_A[FW1-policy-nat-mle-nat_policyl] action nat address-group natpooll 
HRP_A[FW!1-policy-nat-rule-nat_policy1] quit 
HRP AI[FW1-policy-nat] quit 
# 在 FW1 上 配置 NAT 地 址 池 natpoo12。 
HRP AIFW1] nat address-group natpool2 
HRP_A[FWI-nat-address-group-natpool2] section 0 5.1.1.153 5.1.1.158 
HRP AIFW1-nat-address-group-natpool2] quit 
# 在 FW1 上 配置 NAT 策略 nat_ policy2， 将 来 自 10.1.0.0/16 网 段 的 报 文 的 源 地 址 转 
换 成 地 址 池 natpool2 中 的 地 址 。 
HRP AIFW1] nat-policy 
HRP AIEFEW1-policy-nat] rule name nat policy2 
HRP_A[FW1-policy-nat-rule-nat_policy2] source-address 10.1.0.0 16 
HRP_A[FW1-policy-nat-rule-nat_policy2] action nat address-group natpool12 
HRP_A[FW1-policy-nat-rule-nat_policy2] ‘quit 
HRP_AIEW1-policy-nat] quit 
【 强 叔 点 评 】 双 机 热 备 状态 建立 后 ，NAT 地 址 池 和 NAT 策略 的 配置 都 能 够 备份 ， 所 
以 这 里 只 在 配置 主 设备 FW1 上 配置 即 可 。 
# 在 FW1 上 配置 黑洞 路 由 ， 将 NAT 地 址 池 中 的 公 网 地 址 发 布 出 去 。 
。 HRP_A[FW1] ip route-static 5.147.252.144 255.255.255.240 NULL0 
# 在 FW2 上 配置 黑洞 路 由 ， 将 NAT 地 址 池 中 的 公 网 地 址 发 布 出 去 。 


HRP_S[FW2] ip route-static 5.147.252.144 255.255.255.240 NULL0 


【 强 叔 点 评 】 路 由 的 配置 是 不 备份 的 ， 所 以 需要 在 两 台 防 火 墙 上 分 别 配置 黑洞 路 由 。 
# 在 FEW1 上 配置 NAT ALG 功能 。NAT ALG 的 配置 会 自动 备份 到 备用 设备 。 


HRP_A[IFW1] firewall interzone trust untrust 
HRP _A[FW1-interzone-trust-untrust] detect ftp 
HRP A[FW]-interzone-trust-untrust] detect sip 
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HRP_A[FW1-interzone-trust-untrust] detect h323 
HRP_A[IFW1-interzone-trust-untrust] quit 


步骤 7 配置 安全 功能 。 
# 在 FW1 上 配置 URL 过 滤 配 置 文件 urll。 


HRP_AIFW1] profile type url-filter name urll 

HRP_A[FW1-profile-url-filter-urll] category pre-defined subcategory-id 109 action qos remark dscp el 
HRP_A[FW1-profile-url-filter-urll] category pre-defined subcategory-id 122 action block 

HRP A[FW1-profile-url-filter-urll] category pre-defined moe 182 action biock 
HRP_A[FW1-profile-url-filter-urll1] quit 


【 强 叔 点 评 】 在 配置 URL 过 滤 配 置 文件 之 前 ， 请 先 执 命令 display url-filter category 
查看 URL 的 分 类 信息 ， 并 根据 网 络 实际 需求 ， 选 择 合适 的 分 类 。 由 于 配置 方法 相同 ， 这 
里 仅 以 以 上 三 个 分 类 的 配置 为 例 。 

# 配置 安全 策略 ， 人 允许 内 网 用 户 访问 外 网 ， 并 引用 IPS、AV 和 URL 过 滤 的 配置 文件 。 


HRP A[FW1] security-policy 

HRP A[FW1-policy-security] rule name policy_sec 

HRP A[FW!1-policy-security-rule-policy_sec] source-zone trust 
HRP_A[FW1-policy-security-rule-policy_sec] destination-zone untrust 
HRP_A[FW1-policy-security-rule-policy_sec] profile ips ids 
HRP A[FW1-policy-security-rule-policy_sec] profile av default 
HRP_A[FW1-policy-security-rule-policy_sec] profile url urll 
HRP_A[FW1-policy-security-rule-policy_sec] action permit 
HRP_A[FW1-policy-security-rule-policy_sec] policy logging 
HRP A[FW]-policy-security-rule-policy_sec] session logging 
HRP A[FW1-policy-security-rule-policy_sec] quit 

HRP A[FW1-policy-security] quit 


【 强 叔 点 评 】 在 初始 部 署 防火 墙 时 ， 一 般 情 况 下 ， 选 择 缺 省 的 IPS 和 AV 配置 文件 
default 即 可 。 防火 墙 运行 一 段 时 间 后 , 管理 员 可 以 根据 网 络 运行 状况 , 自 定义 配置 文件 。 
如 果 对 安全 性 要 求 不 是 很 高 ， 为 了 降低 IPS 误 报 的 风险 ， 可 以 选择 ids 配置 文件 。 


13.5 配置 步骤 一 一 数据 中 心 防火 墙 


步骤 1 配置 接口 和 将 接口 加 入 安全 区 域 。 
# 配置 FW3 的 接口 GE1/0/8 转换 成 二 层 接口 ， 并 加 入 Link-Group。 


<FW3> system-view 

[FW3] interface GigabitEthernet 1/0/8 

[FW3-GigabitEthemet1/0/8] portswitch : 
[FW3-GigabitEthernet1/0/8] description to R1-GE1/0/3_192.168.166.42 
[FEW3-GigabitEthernet1/0/8] Hink-group 1 

[FW3-GigabitEthernet1/0/8] quit 


# 配置 FW3 的 接口 GE1/0/9 转换 成 二 层 接口 ， 并 加 入 Link-Group。 


[FW3] interface GigabitEthernet 1/0/9 

[FW3-GigabitEthernet1/0/8] portswitch 

[FW3-GigabitEthemetl/0/8] description to DCSW-GE0/0/2_192.168.166.44 
[FW3-GigabitEthernet1/0/8] link-group 1 

[FW3-GigabitEthernet1/0/8] quit 
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# 在 FW3 上 创建 VLAN2200， 并 将 接口 GE1/0/8 和 GE1/0/9 加 入 此 VLAN。 
[FW3] vlan 2200 


~ {FW3-vlan-2200] port GigabitEthernet 1/0/8 


[FW3-vlan-2200] port GigabitEthernet 1/0/9 
[FW3-vlan-2200] quit 


# 配置 FW3 的 GE3/0/8 和 GE3/0/9 组 成 心跳 口 Eth-Trank1， 并 配置 心跳 口 IP 地 址 。 


[FW3] interface Eth-Trunk1 

[FW3-Eth-Trunk!1] ip address 2.2.2.2 255.255.255.252 
[FW3-Eth-Trunk1] description to hrp 

[FW3-Eth-Truank1] quit 

[FW3] interface GigabitEthernet 3/0/8 

[FW3-GigabitEthermet3/0/8] eth-trunk 1 

[FW3-GigabitEthemet3/0/8] description to FW4-GigabitEthernet3/0/8 
[FW3-GigabitEthemet3/0/8] quit 

[FW3] interface GigabitEthernet 3/0/9 

[FW3-GigabitEthernet3/0/9] eth-trunk 1 

~ [FW3-GigabitEthemet3/0/9] description to FW4-GigabitEthernet3/0/9 
[FW3-GigabitEthernet3/0/9] quit 


# 配置 FW3 的 各 接口 加 入 相应 的 安全 区 域 。 


[FW3] firewall zone trust 

[FW3-zone-trust] add interface GigabitEthernet1/0/9 
{FW3-zone-trust] quit 

[FW3] firewall zone untrust 

[FW3-zone-untrust] add interface GigabitEthernet1/0/8 
[FW3-zone-untrust] quit 

[FW3] firewall zone dmz 

[FW3-zone-dmz] add interface Eth-Trunkl 
[EW3-zone-dmz] quit 


# 配置 FW4 的 接口 GE1/0/8 转换 成 二 层 接 口 ， 并 加 入 Link-Group。 


<FW4> system-view 


~ [FW4] interface GigabitEthernet 1/0/8 


[FW4-GigabitEthernet1/0/8] portswitch 

[FW4-GigabitEthernet1/0/8] description to R2-GE1/0/3_ 192.168.166.26 
[FW4-GigabitEthemet1/0/8] link-group 1 

[FW4-GigabitEthernet1/0/8] quit 


# 配置 FW4 的 接口 GE1/0/9 转换 成 二 层 接 口 ， 并 加 入 Link-Group。 


[FW4] interface GigabitEthernet 1/0/9 

[FW4-GigabitEthernet1/0/9] portswitch 

[FW4-GigabitEthemet1/0/9] description to DCSW-GE0/0/1 192.168. 166.28 
[FW4-GigabitEthernet1/0/9] link-group 1 

[FW4-GigabitEthernet1/0/9] quit 


# 在 FW4 上 创建 VLAN2100， 并 将 接口 GE1/0/8 和 GE1/0/9 加 入 此 VLAN。 


[FW4] vlan 2100 

[FW4-vlan-2100] port GigabitEthernet 1/0/8 
[FW4-vlan-2100] port GigabitEthernet 1/0/9 
[FW4-vlan-2100] quit 


# 配置 FW4 的 GE3/0/8 和 GE3/0/9 组 成 心跳 口 Eth-Trunkl1， 并 配置 心跳 口 IP 地 址 。 
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步骤 2 配置 双 机 热 备 功能 。 
# 在 FW3 上 配置 Active 组 和 Standby 组 同 机 VLAN2200。 





【 强 叔 点 评 】 双 机 热 备 状态 成 功 建立 后 ， 大 部 分 配置 都 能 够 备份 。 所 以 在 下 面 的 步 
又 中 ， 我 们 只 需 在 主 用 设备 FW1 上 配置 即 可 (有 特殊 说 明 的 配置 除外 )。 

步骤 3 配置 安全 功能 。 

# 配置 安全 策略 , 允许 内 网 用 户 访问 数据 中 心服 务 器 的 特定 端口 , 并 引用 IPS 和 AV 
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的 配置 文件 。 da ke 
HRP _AIFW3] security-policy 
HRP _ A[FW3- paley eeenrity] ] rule name policy s sec 


HRP_A[FW3-policy-s 


olicy_sec] source-zone te 





~ HRP_A[FW3-policy-security-rule-policy_sec] destination-zone trust 
~ HRP_ AI[FW3-policy-security-mle-policy sec] destination- address 10. 10.10. 1032 
~ HRP_A[FW3-policy-security-rule-policy_sec] service http 、 
~ HRP_A[FW3-policy-security-rule-policy_sec] profile ips default 
， HRP. A[FW3] policy-security-rule-policy ， sec] profile : avdefault 和 
HRP A[FW3- -policy-security-rule-policy_sec] action permit 
HRP. _A[FW3- -policy-security- -rle- -policy_sec] policy logging : 











i A[FW3- iolam。 security] quit 
【 强 叔 点 评 】 在 初始 部 署 防火 墙 时 ， 一 般 情况 下 ， 选择 缺 省 的 IPS 和 AV 配置 文件 
default 即 可 。 防 火 墙 运行 一 段 时 间 后 ， 管 理 员 可 以 根据 网 络 运行 状况 ， 自 定义 配置 
文件 。 
# 配置 ASPF 功能 ， 允 许多 通道 协议 通过 。 


~ HRP A[FW3] firewall interzone trust untrust 
~ HRP_A[FW3-interzone-trust-untrust] detect ftp 
~ HRP_A[FW3-interzone-trust-untrust] ‘detect sip 
~ HRP AIFW3-interzone-tmust-untrust] detect h323 ， 
HRP_A[FW3-interzone-trust-untrust] quit 


13.6 


拍案 惊奇 


此 案例 的 惊奇 之 处 在 于 描述 了 防火 墙 在 体育 场馆 网 络 出 口 处 和 内 部 数据 中 心 出 
口 处 的 典型 应 用 。 如 果 您 想 在 体育 场馆 部 署 防火 墙 ， 完 全 可 以 借鉴 此 案例 。 

此 案例 的 另 一 惊奇 之 处 在 于 诠释 了 双 机 热 备 的 两 种 经 典 组 网 :“ 防 火 墙 连接 路 由 
器 ”和 “防火 墙 透 明 接 入 ， 连 接 路 由 器 ”。 我 们 可 以 借 此 理解 双 机 热 备 的 典型 
应 用 。 

此 案例 的 又 一 惊奇 之 处 在 于 防火 墙 作为 网 关 与 运营 商 之 间 运 行 BGP 而 不 是 静态 
路 由 。 如 果 您 有 在 出 口 网 关 部 署 BGP 的 需求 ， 那 么 可 以 参考 此 案例 。 

此 案例 的 最 大 惊奇 之 处 在 于 如 何 通过 源 NAT 与 路 由 策略 的 配置 ， 保 证 防火 墙 的 
来 回路 径 一 致 。 这 正 是 本 案例 的 难点 和 精髓 所 在 。 

此 案例 的 最 后 一 惊奇 之 处 在 于 出 口 防火 墙 与 数据 中 心 防火 墙 上 的 内 容 安 全 功能 
配置 。 这 里 我 们 提供 的 内 容 安全 配置 是 适用 于 您 最 初 部 署 防火 墙 时 ， 最 简便 ， 

最 稳妥 的 配置 。 





党 14 便 
防火 墙 在 企业 分 支 与 总 
部 VPN 互 通 中 的 应 用 





14.1 组 网 需求 
14.2” 强 叔 规 划 


14.3 配置 步骤 


14.4 ”拍案 惊奇 
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如 图 14-1 所 示 ， 某 大 型 企业 按 地 域 分 为 市 级 分 支 机 构 、 省 级 分 支 机构 、 总 部 三 个 部 
分 ， 组 网 情况 如 下 。 





FW-B GEO/O/1 
10.1.3.1/24 
Trust 










入 加 
WA Be oa 
GEQ/0/1.1:10.1.1.1/24 
GEQ/0/1.2:10.1.2.1/24 
GE0/0/1.3:192.168.1.1/24 
Trust 









GEO0/0/2 
3.3.3.3/30 
Untrust GEO/0/1 
192.168.0.1/24 
Trust 










图 14-1 企业 分 支 与 总 部 VPN 互通 组 网 图 


。 市 级 分 支 机 构 的 网 络 中 ，OA 系统 、ERP 系统 和 财务 系统 属于 三 个 不 同 的 VLAN， 
通过 二 层 交 换 机 相连 ， 网 络 出 口 处 部 署 了 防火 墙 FW_A (USG2200 V300R001C10 
版 本 )。 

。 省 级 分 支 机 构 的 网 络 中 包括 OA 服务 器 、ERP 服务 器 ， 网 络 出 口 处 部 署 了 防火 墙 
FW_B (USG5530 V300R001C10 版 本 )。 

。 总 部 的 网 络 中 包括 财务 管理 服务 器 和 若干 PC， 网 络 出 口 处 部 署 了 防火 墙 FW_C 
(USG5530 V300R001C10 版 本 )。 

企业 的 具体 需求 如 下 。 

。 市 级 分 支 机 构 中 OA 系统 和 ERP 系统 的 数据 需要 发 送 给 省 级 分 支 机 构 相 应 的 OA 
服务 器 和 ERP 服务 器 进行 日 常 办 公 ， 财 务 系统 的 数据 需要 上 报 给 总 部 的 财务 管 
理 服 务 器 进行 分 析 ， 这 些 数据 在 Internet 上 必须 加 密 传输 。 另 外 ， 不 允许 OA 系 
统 、ERP 系统 和 财务 系统 中 的 设备 以 任何 形式 访问 Internet， 但 三 个 系统 之 间 可 
以 通信 。 

.。 为 了 减少 配置 工作 量 ， 要 求 市 级 分 支 机 构 中 的 FW_A 为 OA 系统 、ERP 系统 和 
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财务 系统 中 的 设备 分 配 卫 地 址 及 网 关 信 息 。 

。 市 级 分 支 机 构 没 有 固定 的 公 网 地 址 ， 要 求 FW_A 作为 PPPoE Client， 通 过 拨 
号 方式 从 PPPoE Server 获取 公 网 IP 地 址 。 

。 总 部 中 的 财务 管理 服务 器 (192.168.0.200〉 由 于 安全 限制 ， 只 接收 来 自 特定 下 
地 址 192.168.0.1 的 访问 请 求 ， 因 此 需要 在 FW_C 上 将 来 自 市 级 分 支 机 构 财 务 系 
统 的 报 文 的 源 地 址 转换 成 GE0/0/1 接口 的 地 址 。 另外, 不 允许 财务 管理 服务 器 以 
任何 形式 访问 Intemet， 但 所 有 PC 〈192.168.0.2 一 192.168.0.100) 都 可 以 访问 
JInternet 。 


14.2 ”强权 规划 


14.2.1 ”接口 规划 


市 级 分 支 机 构 的 FW_A 通过 一 个 物理 接口 连接 内 部 的 OA 系统 、ERP 系统 和 财务 系 
统 的 网 络 ， 要 求 规划 三 个 逻辑 子 接口 ， 分 别 连 接 这 三 个 网 络 。 此 外 ，FW_A 要 通过 拨号 
方式 从 PPPoE Server 获取 公 网 IP 地 址 ， 要 求 规划 一 个 Dialer 接口 ， 用 来 动态 获取 公 网 
IP 地 址 。 

对 于 省 级 分 支 机 构 的 FW_B 和 总 部 的 FW_C 来 说 , 接口 规划 无 特殊 要 求 ， 选 定 物理 
接口 后 正常 配置 IP 地 址 和 加 入 安全 区 域 即 可 。 


14.2.2 ”安全 策略 规划 


在 FW_A 上 配置 Trust 安全 区 域 和 Untrust 安全 区 域 之 间 的 安全 策略 ， 人 允许 OA 系统 、 
ERP 系统 、 财 务 系统 访问 省 级 分 支 机 构 和 总 部 的 报 文通 过 ， 还 要 配置 Local 安全 区 域 和 
Untrust 安全 区 域 之 间 的 安全 策略 ， 允 许 IPSec 报 文通 过 。 

在 FW_B 上 配置 Untrust 安全 区 域 和 Trust 安全 区 域 之 间 的 安全 策略 ， 人 允许 OA 系统 、 
ERP 系统 访问 OA 服务 器 、ERP 服务 器 的 报 文 通过 ， 还 要 配置 Local 安全 区 域 和 Untrust 
安全 区 域 之 间 的 安全 策略 ， 人 允许 IPSec 报 文 通过 。 

在 FW_C 上 配置 Untrust 安全 区 域 和 Trust 安全 区 域 之 间 的 安全 策略 ,允许 财务 系统 
访问 财务 管理 服务 器 的 报 文通 过 ， 人 允许 PC 访问 Internet 的 报 文通 过 ， 还 要 配置 Local 安 
全 区 域 和 Untrust 安全 区 域 之 间 的 安全 策略 ， 人 允许 IPSec 报 文通 过 。 


14.2.3 IPSec 规划 


市 级 分 支 机 构 和 省 级 分 支 机 构 、 市 级 分 支 机 构 和 总 部 之 间 的 数据 都 要 经 过 IPSec 加 
密 ， 故 需要 在 FW_A 与 FW_B 之 间 以 及 FW_A 和 FW _C 之 间 分 别 建 立 IPSec 隧道 。 

市 级 分 支 机 构 的 FW_A 上 配置 IPSec 策略 组 , 包含 两 条 IPSec 策略 , 分 别 对 应 FW_B 
和 FW_C 两 个 对 等 体 ，IPSec 策略 组 应 用 到 Dialer 接口 上 。 

市 级 分 支 机 构 主动 向 省 级 分 支 机 构 和 总 部 发 起 连接 ， 故 省 级 分 支 机 构 的 FEFW_B 和 总 
部 的 FW_C 上 采用 IPSec 策略 模板 方式 建立 IPSec 隧道 , 接受 市 级 分 支 机 构 发 起 的 访问 。 
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14.2.4 “NAT 规划 


市 级 分 支 机 构 中 的 OA 系统 、.ERP 系统 和 财务 系统 不 能 访问 Internet, 故 无 需 在 FW_A 
上 规划 NAT 策略 。 省 级 分 支 机构 中 没有 访问 Internet 的 需求 ， 因 此 也 无 需 在 FW_B 上 规 
划 NAT 策略 。 

总 部 的 FW_C 上 要 规划 两 条 NAT 策略 ， 第 一 条 NAT 策略 的 作用 是 对 市 级 分 支 机 构 财 
务 系统 访问 财务 管理 服务 器 的 报 文 进行 源 地 址 转换 ， 使 用 Easy-IP 方式 转换 成 GE0/0/1 接口 
的 地 址 ; 第 二 条 NAT 策略 的 作用 是 对 总 部 的 PC 访问 Internet 的 报 文 进行 源 地 址 转换 ， 使 用 
NAPT 方式 转换 成 公 网 地 址 池 的 地 址 。 这 里 要 求 第 二 条 NAT 策略 中 的 匹配 条 件 严格 限定 为 
PC 的 地 址 ， 不 能 包括 财务 管理 服务 器 的 地 址 ， 即 不 允许 财务 管理 服务 器 访问 Internet。 


14.2.5 ”路 由 规划 


由 于 市 级 分 支 机 构 、 省 级 分 支 机 构 和 总 部 的 网 络 结构 比较 简单 ， 所 以 采用 静态 路 由 
方式 ,在 FW_A、FW_B 和 FW_C 上 配置 缺 省 路 由 ， 下 一 跳 地 址 是 ISP 提供 的 地 址 。 另 
外 ， 在 FW_C 上 还 需要 配置 目的 地 址 是 NAT 地 址 池 地 址 的 黑洞 路 由 ， 防 止 路 由 环 路 。 

另外 ， 市 级 分 支 机 构 内 部 网 络 中 设备 的 网 关 由 FW_A 分 配 ， 而 省 级 分 支 机 构 和 总 部 
内 部 网 络 中 的 设备 要 将 默认 网 关 设 置 为 FW_B 和 FW_C 连接 内 网 接口 的 地 址 。 


14.3 ”配置 步骤 


步骤 1 配置 接口 的 IP 地址 ， 并 将 接口 加 入 安全 区 域 。 
# 在 FW_A 上 创建 子 接口 并 配置 IP 地 址 ， 同 时 在 子 接口 上 配置 DHCP， 为 内 网 设 
备 分 配 IP 地 址 。 


<EW_A> system-view 
[FW_A] interface GigabitEthernet 0/0/1.1 
[FW_A-GigabitEthemet0/0/1.1] vian-type dotlq 10 
[FW_A-GigabitEthernet0/0/1.1] ip address 10.1.1.1 255.255.255,. 0 
[FW_A-GigabitEthernet0/0/1.1] dhcp select interface 
[FW_A-GigabitEthernet0/0/1.1] quit 
[FW_Al] interface GigabitEthernet 0/0/1.2 
A-GigabitEthernet0/0/1.2] vlan-type dotiq 20 
[FW_A-GigabitEthemet0/0/1.2] ip address 10.1.2.1 255.255.255.0 
[FW_A-GigabitEthernet0/0/1.2] dhep select interface 
A-GigabitEthernet0/0/1.2] quit 
[FW_A] interface GigabitEthernet 0/0/1.3 
[FW_A-GigabitEthernet0/0/1.3] vlan-type dotlq 30 
_A-GigabitEthernet0/0/1.3] ip address 192.168.1.1 255.255.255.0 
[FW_A-GigabitEthernet0/0/1.3] dhep select interface 
[FW_A-GigabitEthernet0/0/1.3] quit i; 


【 强 叔 点 评 】 市 级 分 支 机 构 的 内 网 结构 简单 ， 只 需 在 子 接口 上 配置 dhep select 
interface 命令 ，FW_A 会 以 子 接口 的 地 址 作为 参照 ， 将 除 子 接口 地 址 之 外 的 同一 网 段 的 
IP 地 址 分 配给 OA 系统 、ERP 系统 、 财 务 系统 中 的 设备 ， 同 时 将 子 接口 的 地 址 作为 网 关 
地 址 分 配给 这 些 设备 。 
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# 在 FW_A 上 创建 Dialer 接口 并 配置 拨号 参数 ， 然 后 将 绑 定 到 物理 接口 上 。 此 处 假 
设 PPPoE Server 为 企业 分 配 的 用 户 名 为 adtmin， 密 码 为 Admin@123， 认 证 方式 为 PAP。 
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[FW_C-zone-untrust] add interface GigabitEthernet 0/0/2 
[FW._C-zone-untrust] quit 


步骤 2 配置 安全 策略 。 


# 在 FW_A 上 配置 Trust 安全 区 域 和 Untrust 安全 区 域 之 间 的 安全 策略 , 允许 OA 系 
统 、ERP 系统 访问 省 级 分 支 机 构 的 报 文通 过 。 


[FW. A] policy interzone trust untrust outbound 
[FW_A-policy-interzone-trust-untrust-outbound] policy 1 
[FW_A-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1.0 0.0.0.255 
[FW_A-policy-interzone-trust-untrust-outbound-1] policy source 10.1.2.0 0.0.0.255 
[FW._ A-policy-interzone- -trust-untrust-outbound-1] policy destination 10.1.3.0 0.0.0.255 
[FW A-policy-interzone-trust-untrust-outbound-1] action permit 
[FW_A-policy-interzone-trust-untrust-outbound-1] quit 


# 在 FW_A 上 配置 Trust 安全 区 域 和 Untrust 安全 区 域 之 间 的 安全 策略 ， 允许 财务 系 
统 访问 总 部 财务 管理 服务 器 的 报 文通 过 


[FW_ A-policy-interzone-trust-untrust-outbound] policy 2 
[FW. _A-policy-interzone-trust- -untrust-outbound-2] policy source 192.168.1.0 0.0.0.255 
[FW_A-policy-: -interzone-trust-untrust-outbound-2] policy destination 192.168. .0.200 0 
[FW_ A-policy-interzone-trust-untrust-outbound-2] action permit 
[FW_A-policy-interzone-trust-untrust-outbound-2] quit 

_A-policy-interzone- -trust-untrust-outbound] quit 


# 在 FW_A 上 配置 Local 安全 区 域 和 Untrust 安全 区 域 之 间 的 安全 策略 ， 允许 IPSec 
报 文通 过 。 


[FEW_A] 认 service-set udps00 type object 。 
[FW_A-obijectservicesetrudp500] service er pe Weeport S00 testinadon-port S00 
[FW_A-object-service-set-udp500] quit 

[FW_A] policy interzone local untrust outbound 
[FW_A-policy-interzone-local-untrust-outbound] policy 1 
[FW_A-policy-interzone-local-untrust-outbound-1] policy destination 2.2.2.2 和 
[FW_A-policy-interzone-local-untrust-outbound-1] policy destination 3.3.3.3 0 

[FW. A-policy-interzone-local-untrust-outbound-1] policy service service-set wo 
[FW_A-policy-interzone-local-untrust-outbound-1] action permit 

[FwW A-policy-interzone-local- -untrust-outbound-1] quit 
[FW_A-policy-interzone-local-untrust-outbound] quit 

[FW ， A] policy interzone local untrustinbound 

[FW. _ A-policy-interzone-local-untrust-inbound] policy 1 

[FW._ A-policy-interzone-local-untrust-inbound-1] policy source 2.2.2.20 
[FW_A-policy-interzone-local-untrust-inbound-1] policy source 3.3.3.3 0 

[FW . A-policy-interzone-local-untrust-inbound-1] policy service service-set mp 
[FW_A-policy-interzone-local-untrust-inbound-1] action permit 
[FW_A-policy-interzone-local-untrust-inbound-1] quit 
[FW_A-policy-interzone-local-untrust-inbound] quit 


【 强 叔 点 评 】 因 为 IPSec 协商 报 文 使 用 UDP 协议 ， 源 和 目 的 端口 都 是 500， 所 以 我 
们 在 这 里 自 定 义 了 一 个 服务 集 “udp500” 指定 协议 是 UDP, 指定 源 和 目的 端口 都 是 500， 
作为 匹配 条 件 在 安全 策略 中 引用 。 另 外 ，IPSec 使 用 ESP 协议 来 加 密 业 务 报 文 ， 我 们 在 
安全 策略 中 配置 匹配 条 件 时 直接 引用 了 预定 义 的 esp 协议 。 

# 在 FW_B 上 配置 Trust 安全 区 域 和 Untrust 安全 区 域 之 间 的 安全 策略 ， 人 允许 OA 系 
统 、ERP 系统 访问 省 级 分 文 机 构 的 报 文 通过 。 


[FW_B] policy interzone trust untrust inbound 
[FW_B-policy-interzone-trust-untrust-inbound] policy 1 
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[FW_B-policy-interzone-trust-untrust-inbound-1] policy source 10.1.1.0 0.0.0.255 
[FW_ B-policy-interzone-trust-untrust-inbound-1] policy source 10.1.2.0 0.0.0.255 
[FW_B-policy-interzone-trust-untrust-inbound-1] policy destination 10.1.3.0 0.0.0.255 
[FW_B-policy-interzone-trust-untrmst-inbound-1] action permit 
[FW_B-policy-interzone-trust-untrust-inbound-1] quit = 

~ [FW_B-policy-interzone-trust-untrust-inbound] quit 


# 在 FW_B 上 配置 Local 安全 区 域 和 Untrust 安全 区 域 之 间 的 安全 策略 ， 人 允许 IPSec 
报 文通 过 。 


FW_B] ip service-set udp500 type object 
[FW_B-object-service-set-udp500] service protocol udp source-port S00 destination-port 500 
[FW_B-object-service-setrudp500] quit 
[FW_B] policy interzone local untrust inbound 
[FwW_B-policy-interzone-local-untrust-inbound] policy 1 
[FW_B-policy-interzone-local-untrust-inbound-1] policy destination 2.2.2.2 0 
[FW_ B-policy-interzone-local-untrust-inbound-1] policy service service-set udpS00 
[FW_B-policy-interzone-local-untrust-inbound-1] policy service service-set esp 
~ [FW._B-policy-interzone-local-untrust-inbound-1] action permit 
~ [FW_B-policy-interzone-local-untrust-inbound-1] quit 
[FW _B-policy-interzone-local-untrust-inbound] quit 


# 在 FW_C 上 配置 Trust 安全 区 域 和 Untrust 安全 区 域 之 间 的 安全 策略 , 允许 财务 系 
统 访问 财务 管理 服务 器 的 报 文通 过 。 


[FW_C] policy interzone trust untrust inbound 
[FW_C-policy-interzone-trust-untrust-inbound] policy 1 
[FW_C-policy-interzone-trust-untrust-inbound-1] policy source 192.168.1.0 0.0.0.255 
[FW_C-policy-interzone-trust-untrust-inbound-1] policy destination 192.168.0.200 0 
[FW_C-policy-interzone-trust-untrust-inbound-1] action permit 
[FW_C-policy-interzone-trust-untrust-inbound-1] quit 
[FW_C-policy-interzone-trust-untrust-inbound] quit 


# 在 FW_C 上 配置 Trust 安全 区 域 和 Untrust 安全 区 域 之 间 的 安全 策略 ， 人 允许 PC 访 
问 Internet 的 报 文通 过 。 


[FW._C] policy interzone trust untrust outbound 
[FW C-policy-interzone-trust-untrust-outbound] policy 1 
[FW _C-policy-interzone-trust-untrust-outbound-1] policy source range 192.168.0.2 192. 168.0.100 
[FW. _C-policy-interzone-trust-untrust-outbound-1] action permit 
[FW. _C-policy-interzone-trust-untrust-outbound-1] quit 
[FEW C-policy-interzone-trust-untrust-outbound] quit 


# 在 FW_C 上 配置 Local 安全 区 域 和 Untrust 安全 区 域 之 间 的 安全 策略 ， 人 允许 IPSec 
报 文通 过 
[FW_C] ip service-set udp$00 type object 
EW C-obiject-service-set-udp500] service protocol udp source-port 500 Sescinntion port 500 
[FEW C-object-service-set-udp500] qqguit 
[FW_C] policy interzone local untrust inbound 
[FW_C-policy-interzone-local-untrust-inbound] policy 1 
[FW_C-policy-interzone-local-untrust-inbound-1] policy destination 3.3.3.3 0 
{FW_C-policy-interzone-local-untrust-inbound-1] policy service service-set udpSs00 
[FW_C-policy-interzone-local-untrust-inbound-1] policy service service-set esp 
~ [FW_C-policy-interzone-local-untrust-inbound-1] action permit 
[FW_C-policy-interzone-local-untrust-inbound-1] quit 
eg -untrust-inbound] quit 


步骤 3 配置 IPSec。 
# 在 FW_A 上 配置 ACL， 定 义 受 IPSec 保护 的 数据 流 。 
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[FEW_A] acl 3000 

[FW_A-acl-adv-3000] rule permit in source 10.1.0.0 0.0.255.255 destination 10. 13， 0 0.0.0.255 
[FW_A-acl-adv-3000] quit 

[FW_A] acl3001 


[FW_A-acl-adv-3001] rule permlt ip source 192. 168.1.0 0.0.0.255 destination 192.168.0.0 0.0. 0.255 


[FW_A-acl-adv-3001] quit 
# 在 FW_B 上 配置 ACL， 定 义 受 IPSec 保护 的 数据 流 。 


[FW_B] ael 3000 
[FW_B-acl-adv-3000] rule permit ip souree 10.1.3.0 0.0.0.255 destination 10.1. 0.0 0.0.255. 255 
[FW_B-acl-adv-3000] quit 


# 在 FW_C 上 配置 ACL， 定义 受 IPSec 保护 的 数据 流 。 


[FW_C] acl 3000 - 
[FW_C-acl-adv-3000] rule permit ip source 192.168.0.0 0.0. 0255 destination 192.168.1.0 0.0.0. 255 
[FW_C-acl-adv-3000] quit 


# 在 FW_A 上 配置 IPSec 安全 提议 。 


[FW_Alipsec proposalprol 

~ [FW_A-ipsec-proposal-prol] encapsulation-mode tunnel 
[FW_A-ipsec-proposal-prol] transform esp 
[FW_A-ipsec-proposal-prol] esp authentication-algorithm shal 
[FW_A-ipsec-proposal-prol] esp op aes 
[FW _A-ipsec-proposal-prol] quit 
[FW_A] ipsec proposal pro2 
[FW_A-ipsec-proposal-pro2] encapsulation-mode tunne! 
[FW_A-ipsec-proposal-pro2] transform esp 
[FW_A-ipsec-proposai-pro2] esp authentication-algorithmn shal 
[FW_A-ipsec-proposal-pro2] esp encryption slgorithm aes 

~ [FW_A-ipsec-proposal-pro2] quit ， 


# 在 FW_B 上 配置 IPSec 安全 提议 。 


[FW_B]ipsec proposalprol | 

[FW B-ipsec-proposal-prol] encapsulation-mode tanal 

[FW_B-ipsec-proposal-prol] transform esp 
_B-ipsec-proposal-prol] esp authentication-algorithm shal 

[FW_B-ipsec-proposal-prol] esp encryption-algorithm aes 

[FW_B-ipsec-proposal-pro1] quit 


# 在 FW_C 上 配置 IPSec 安全 提议 。 


[FW_C] ipsec proposal prol 
[FW_C-ipsec-proposal-prol] encapsulation-mode mine 
[FW_C-ipsec-proposal-pro1] transform esp 
[FW_C-ipsec-proposal-prol] esp authentication-algorithm shal 
[FW_/ C-ipsec-proposal-prol] esp ol he aes 
[FW_C-ipsec-proposal-prol] quit 


# 在 FW_A 上 配置 IKE 安全 提议 。 


[FW Alike proposall ， 
[FwW_A-ike-proposal-1] anthentication method re mre 

[FW_A-ike-proposal-1] authentication-algorithm shal 
[FW_A-ike-proposal-1] encryption-algorithm aes-cbe 
[FW A-ike-proposal-l]dhgroup2 | 
[FW_A-ike-proposal-1] integrity-algorithm eg 
[FW_A-ike-proposal-1] quit 

[FEW_A] ike proposal2 。 ， 
[FW_A-ike-proposal-2] authentication-method I pre Ahare 
[FW_A-ike-proposal-2] authentication-algorithm shal 
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[FW_A-ike-proposal-2] encryption-algorithm aes-cbc 
[FW_A-ike-proposal-2] dh group2 和 
[FW_A-ike-proposal-2] integrity-algorithm aes-xcbe-96 
[FW_A-ike-proposal-2] quit 


# 在 FW_B 上 配置 IKE 安全 提议 。 


[FW_B] ike proposal 1 

[FW_B-ike-proposal-1] authentication-method pre-share 
[FW_B-ike-proposal-1] authentication-algorithm shal 
[FW_B-ike-proposal-1] encryption-algorithm aes-cbe 
[FW_B-ike-proposal-1] dh group2 
[FW_B-ike-proposal-1] integrity-algorithm aes-xcbc-96 
[FW_B-ike-proposal-1] quit 


# 在 FW_C 上 配置 IKE 安全 提议 。 


[FW_C] ike proposal 1 

[FW_C-ike-proposal-1] authentication-method pre-share 
[FW_C-ike-proposal-1] authentication-algorithm shal 
[FW_C-ike-proposal-1] encryption-algorithm aes-cbec 
[FW_C-ike-proposal-1] dh group2 
[FW_C-ike-proposal-1] integrity-algorithm aes-xcbc-96 
[FW_C-ike-proposal-1] quit 


【 强 叔 点 评 】 建 立 IPSec 隧道 的 两 台 防 火 墙 上 ，IPSec 安全 提议 和 IKE 安全 提议 的 参 
数 要 保持 一 致 。 
# 在 FW_A 上 配置 IKE Peer。 


[FW_Al] ike local-name FW_A 

[FW _Alikepeerfwb  . 

[FW_A-ike-peer-fwb] ike-proposal 1 
[FW_A-ike-peer-fwb] local-id-type fqdn 
[FW_A-ike-peer-fwb] remote-address 2.2.2.2 
[FW_A-ike-peer-fwb] pre-shared-key Admin@123 
[FW_A-ike-peer-fwb] quit 

[FW_Al] ike peer fwec 

[FW_A-ike-peer-fwc] ike-proposal 2 
[FW_A-ike-peer-fwc] local-id-type fqdn 
[FW_A-ike-peer-fwc] remote-address 3.3.3.3 
[FW_A-ike-peer-fwc] pre-shared-key Admin(@456 
[FW_A-ike-peer-fwc] quit 


# 在 FW_B 上 配置 IKE Peer。 


EFW_B] ike peer fwa 
[FW_B-ike-peer-fwa] ike-proposal 1 
[FW_B-ike-peer-fwa] remote-id FW_A 
[FW_ B-ike-peer-fwa] pre-shared-key Admin(@123 
[FW_B-ike-peer-fwal] quit 


# 在 FW_C 上 配置 IKE Peer。 


{FW._C] ike peer fwa 

[FW._C-ike-peer-fwa] ike-proposal 1 

[FW_C-ike-peer-fwa] remote-id FW A 

[FW_C-ike-peer-fwa] pre-shared-key Admin@456 

[FW_C-ike-peer-fwa] quit 

【 强 叔 点评 】 本 举例 中 ，FW_B 和 FW_C 有 固定 的 公 网 卫 地址 ，FW_A 使 用 卫 地 址 
方式 来 验证 FW_B 和 FW_C; FW_B 和 FW_C; FW_A 没有 固定 的 公 网 卫 地 址 ，FW_B 


和 FW_C 使 用 FQDN 方式 来 验证 FW_A。 
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对 于 IP 地 址 方式 来 说 ， 它 是 默认 的 方式 ， 无 需 额外 配置 。 对 于 FQDN 方式 来 说 ， 
我 们 需要 在 FW_A 的 IKE Peer 视图 中 配置 local-id-type fqdn 命令 ， 在 系统 视图 中 配置 
ike local-name local-name 命令 ; 同时 ， 还 要 在 FW_B 和 FW_C 的 IKE Peer 视图 中 配置 
remote-id id 命令 ，id 要 与 FW_A 上 通过 ike local-name 命令 配置 的 local-name 相同 。 

另外 还 有 一 点 需要 说 明 ,， 如 果 没 有 配置 ike local-name local-name 命令 , FW_A 会 用 
自己 的 设备 名 称 作为 local name 发 送 到 FW_B 和 FW_C 进行 验证 , 本 举例 中 FW_A 的 设 
备 名 称 就 是 “FW_A” 所 以 在 FW_B 和 FW_C 上 配置 remote-id FW_A 即 可 ，FW_A 上 
的 ike local-name FW_A 并 不 是 必 选 配置 ， 这 里 为 了 便于 描述 还 是 给 出 了 这 条 配置 。 

# 在 FW_A 上 配置 IPSec 策略 。 


[FEW_A] ipsec policy mapl 1 isakmp 
[FW_A-ipsec-policy-isakmp-map1-1] security acl 3000 
[FEW_A-ipsec-policy-isakmp-map1-1] ike-peer fwb 
[FW_A-ipsec-policy-isakmp-map1-1] proposal prol 
[FW_A-ipsec-policy-isakmp-map1-1] quit 

[FW_A] ipsec policy mapl 2 isakmp 
[FW_A-ipsec-policy-isakmp-map1-2] security acl 3001 
[FW_A-ipsec-policy-isakmp-map]1-2] ike-peer fwe 
[FW_A-ipsec-policy-isakmp-map1-2] proposal pro2 
[FW_A-ipsec-policy-isakmp-map1-2] quit 


# 在 FW_B 上 配置 IPSec 策略 。 


[FW_B] ipsec policy-template map_temp 1 
[FW_B-ipsec-policy-template-map_temp-1] security acl 3000. 
[FW_B-ipsec-policy-template-map._ temp-1] ike-peer fwa 
[FW_ B-ipsec-policy-template-map_temp-1] proposal prol 
[FW_B-ipsec-policy-template-map_temp-1] quit 

[FW_B] ipsec policy mapl 1 isakmp template mapl_ temp 


# 在 FW_C 上 配置 IPSec 策略 。 


[FW_C] ipsec policy-template map_temp 1 
[FW_C-ipsec-policy-template-map_temp-1] security acl 3000 
[FW_C-ipsec-policy-template-map_temp-1] ike-peer fwa 
[FW_C-ipsec-policy-template-map_temp-1] proposal prol 
[FW_C-ipsec-policy-template-map._ temp-1] quit 

[FW_C] ipsec policy mapl 1 isakmp template mapl_temp 


# 在 FW_A 上 应 用 IPSec 策略 。 


[FW_A] interface Dialer 1 
[FW_A-Dialerl] ipsec policy mapl 
[FW_A-Dialer]l] quit 


# 在 FW_B 上 应 用 IPSec 策略 。 


[FW_B] interface GigabitEthernet 0/0/2 
[FW_B-GigabitEthernet0/0/2] ipsec policy mapl 
[FW_B-GigabitEthemet0/0/2] quit 


# 在 FW_C 上 应 用 IPSec 策略 。 


[FW_C] interface GigabitEthernet 0/0/2 
[FW_C-GigabitEthernet0/0/2] ipsec policy map!1 
[FW_C-GigabitEthemet0/0/2] quit : 


步骤 4 配置 NAT。 
# 在 FW_C 上 配置 市 级 分 支 机 构 财 务 系统 访问 财务 管理 服务 器 的 NAT 策略 ， 转 换 
后 的 地 址 为 GE0/0/1 接口 的 地 址 192.168.0.1。 
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[FW_C] nat-policy interzone trust untrust inbound 
'_ C-nat-policy-interzone-trust-untrust-inbound] policy 1 
[FW_C-nat-policy-interzone-trust-untrust-inbound-1] policy source 192.168.1.0 0.0.0.255 
。 [FW_C-nat-policy-interzone-trust-untrust-inbound-1] policy destination 192.168.0. 2000 
~ [FW_C-nat-policy- interzone-trust-untrust-inbound-1] action source-nat 
: [FW C-nat-policy-interzone-trust-untrust-inbound-1] easy-ip GigabitEthernet0/0/1 
[FW CC-nat-policy- -interzone-trust-untrust-inbound-1] quit 
EEW_C-nat-policy-interzone-trust-untrust-inbound] quit 


# 在 FW_C 上 配置 NAT 地址 池 , 此 处 假设 总 部 从 ISP 获取 到 的 公 网 他 地 址 是 3.3.3.100。 
EW_C] nat address-group 1 3.3.3.100 3.3.3.100 
# 在 FW_C 上 配置 PC 访问 Internet 的 NAT 策略 ， 转 换 后 的 地 址 为 地 址 池 地 址 。 
[FW_C] nat-policy interzone trust untrust outbound 
{FW_C-nat-policy-interzone-trust-untrust-outbound] policy 1 
[FW_C-nat-policy-interzone-trust-untrust-outbound-1] policy source range 192.168.0.2 192.168. 0. 100 
[FW_C-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
[FW_C-nat-policy-interzone-trust-untrust-outbound-1] address-group 1 
[FW_C-nat-policy-interzone-trust-untrust-outbound-1] quit 
[FW_C-nat-policy-interzone-trust-untrust-outbound] quit 
【 强 叔 点 评 】 此 处 配置 了 两 条 NAT 策略 ， 分 别 对 应 一 进 一 出 两 种 业务 的 报 文 。 
步 又 5 配置 路 由 。 
# 在 FW_A 上 配置 缺 省 路 由 ， 下 一 跳 为 Dialer 1 接口 。 
[FEW_A] ip route-static 0.0.0.0 0.0.0.0 Dialer 1 
# 在 FW_B 上 配置 缺 省 路 由 ， 假 设 ISP 提供 的 下 一 跳 地 址 为 2.2.2.1。 

_ Bl] ip route-static 10.1.0.0 16 2.2.2.1 
# 在 FW_C 上 配置 缺 省 路 由 ， 假 设 ISP 提供 的 下 一 跳 地 址 为 3.3.3.1。 
[FW_C] ip route-static 0.0.0.0 0.0.0.0 3.3.3.1 
# 在 FW_C 上 配置 针对 NAT 地 址 池 地 址 的 黑洞 路 由 ， 避 免 路 由 环 路 。 


[FW_C] ip route-static 3.3.3.100 32 NULL 0 


14.4 ”拍案 惊奇 


此 案例 看 似 平淡 ， 细 品 之 ， 还 是 能 发 现 一 些 惊奇 之 处 。 

。 首先 ， 市 级 分 支 机 构 中 的 FW_A 使 用 子 接口 与 内 网 中 的 OA 系统 、ERP 系统 、 
财务 系统 相连 ， 子 接口 上 配置 IP 地 址 用 于 终结 VLAN。 当 防火 墙 通过 一 个 物理 
接口 连接 多 个 VLAN 时 ， 这 种 配置 方式 比较 常见 。 

e 其 次 ,市 级 分 支 机 构 中 的 FW_A 上 配置 的 IPSec 策略 应 用 在 逻辑 接口 Dialer 接口 
上 ,而 不 是 应 用 在 物理 接口 上 。 这 是 由 于 FW_A 作为 PPPoE Client，Dialer 接口 
通过 拨号 方式 获取 公 网 卫 地 址 ,该 公 网 IP 地 址 会 作为 IPSec 隧道 发 起 端的 地 址 ， 
因此 需要 在 Dialer 接口 上 应 用 IPSec 策略 。 

。 最 后 ， 由 于 总 部 中 的 财务 管理 服务 器 只 能 接收 来 自 特 定 IP 地 址 的 访问 请 求 ， 所 
以 我 们 FW_C 上 配置 了 一 条 特殊 的 NAT 策略 ， 将 来 自 市 级 分 支 机构 财 务 系统 的 
报 文 的 源 地 址 转换 成 GE0/0/1 接口 的 地 址 。 与 以 往 传 统 的 内 部 访问 外 部 时 进行 地 
址 转换 不 同 ， 该 NAT 策略 是 在 外 部 访问 内 部 时 进行 地 址 转换 ， 并 且 将 私 网 地 址 
转换 成 了 另 一 个 私 网 地 址 ， 属 于 NAT 的 灵活 应 用 。 
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在 “1.3 华为 防火 墙 产品 一 览 ” 中 ， 强 叔 曾 介绍 : 华为 出 品 低 、 中 、 高 端 共 三 个 系 
列 防 火 墙 ， 对 应 当前 的 主力 产品 型 号 分 别 为 USG2000/5000、USG6000 和 USG9500。 这 
三 个 系列 产品 毫 无 疑问 都 基于 状态 检测 与 会 话机 制 实现 ， 但 是 中 低 端 防火 墙 与 高 端 防火 
墙 在 架构 实现 上 有 些 区 别 : 中 低 端 防火 墙 采用 集中 式 架 构 , 高 端 防火 墙 采用 分 布 式 架 构 ， 
这 使 得 它们 的 报 文 处 理 流程 稍 有 不 同 。 不 过 这 个 “ 稍 有 不 同 ” 并 不 影响 “大 同 的 ”主线 。 
所 以 ， 强 叔 按 单刀 直入 式 的 思路 ， 先 讲 “ 大 同 ” 形 式 下 的 报 文 处 理 流程 ， 即 同样 的 会 话 
机 制 ， 再 强调 求同存异 ， 即 讲解 架构 差异 带 来 的 影响 。 


A.1 华为 大 同 : 全 系列 状态 检测 防火 墙报 文 处 理 流程 


下 面 我 们 以 USG5000 系列 产品 为 例 ， 介 绍 状 态 检 测 防火 墙 的 报 文 处 理 流程 。 

状态 检测 与 会 话机 制 是 华为 防火 墙 对 报 文 处 理 的 关键 环节 ， 即 防火 墙 收 到 报 文 后 ， 
何 时 、 如 何 创建 会 话 ， 命 中 会 话 表 的 报 文 如 何 被 转发 。 在 思考 并 试图 回答 这 三 个 问题 的 
同时 ， 我 们 自然 而 然 地 就 会 把 防火 墙 上 的 报 文 处 理 过 程 分 为 查询 会 话 表 前 、 中 、 后 三 个 
阶段 ， 如 图 A-1 所 示 。 


Nr 


解 封装 后 理 走 。 “ 
报 文 处 理 流程 准备 进 VPN 随 首 





图 A-1 USG5000 报 文 处 理 流程 图 
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友情 提醒 : 图 很 复杂 ， 大 家 对 三 个 阶段 有 印象 即 可 ， 重 点 看 图 下 的 文字 拆 解 吧 。 
我 们 来 进一步 介绍 每 个 阶段 的 目的 和 处 理 过 程 。 


A.1.1 查询 会 话 前 的 处 理 过 程 : 基础 处 理 


这 个 阶段 的 主要 目的 是 解析 出 报 文 的 帧 头 和 IP 头 , 并 根据 报 文 头 部 中 的 信息 进行 一 
些 基 础 的 安全 检测 〈 单 包 攻击 防范 )。 


A.1.2 ”查询 会 话 中 的 处 理 过 程 : 转发 处 理 ， 关 键 是 会 话 建立 


这 个 阶段 是 防火 墙 对 报 文 转发 处 理 的 核心 。 建 立会 话 表 ， 根 据 会 话 表 转发 报 文 ， 是 
状态 检测 防火 墙 的 精 侨 。 此 部 分 要 梳理 清楚 思路 , 会 耗费 很 多 笔墨 , 还 请 大 家 耐心 观看 。 

到 此 阶段 ， 防 火 墙 最 先 判断 该 报 文 是 否 要 创建 会 话 。 

我 们 先 对 报 文 做 个 分 类 ， 如 下 。 

。 协议 报 文 : 使 防火 墙 正常 运行 于 网 络 中 ， 或 用 于 双 机 热 备 等 功能 的 协议 报 文 ， 如 

OSPF、IGMP、HRP 等 报 文 。 

。 穿 过 防火 墙 的 业务 报 文 : 报 文 的 源 地 址 为 内 网 、 目 的 地 址 为 外 网 ， 例 如 ， 用 户 经 
过 防火 墙 访问 Internet 的 报 文 ， 我 们 通常 习惯 称 为 业务 报 文 。 这 些 报 文 可 能 为 二 
层 或 三 层 报 文 ， 尤 其 是 TCP、UDP 等 报 文 最 为 常见 。 顺 便 说 一 句 ， 二 层 和 三 层 
报 文 ， 其 实在 转发 流程 上 没有 本 质 区 别 ， 主 要 差异 在 于 查询 路 由 阶段 ， 二 层 报 文 
是 根据 MAC 地 址 转发 ， 三 层 报 文 是 根据 路 由 表 转 发 。 

做 如 上 分 类 正 是 因为 防火 墙 对 于 这 两 类 报 文 处 理 流 程 有 所 不 同 。 

e 对 于 协议 报 文 , 防火 墙 处 理 比较 特殊 , 并 不 适用 于 通用 原则 。 以 OSPF 协议 为 例 ， 
当 网 络 类 型 为 Broadcast 时 ， 其 DD 报 文 为 单 播报 文 ， 需 要 经 过 防火 墙 的 安全 策 
略 检查 。 而 当 网 络 类 型 为 P2P 时 ， 其 DD 报 文 为 组 播报 文 ， 则 不 需要 经 过 防火 . 
墙 的 安全 策略 检查 ， 直 接 被 转发 。 对 于 每 个 协议 ， 防火墙 处 理 并 不 完全 相同 ， 由 
于 协议 报 文 主要 用 于 系统 及 网 络 互 联 ， 这 里 我 们 不 再 一 一 介绍 。 

e 对 于 业务 报 文 ， 如 TCP 首 包 、UDP 等 报 文 都 需要 创建 会 话 ， 判 断 该 报 文 要 创建 
会 话 后 ， 接 下 来 马上 查询 会 话 表 中 是 否 已 经 创建 了 该 报 文 的 会 话 。 

一 ”对 于 不 能 匹配 会 话 表 中 任 一 表 项 的 报 文 ， 防 火 墙 判 断 该 报 文 为 某 一 流量 的 首 
包 ， 进 入 首 包 处 理 流程 。 

一 ”对 于 匹配 了 会 话 表 中 某 一 表 项 的 报 文 ， 防 火 墙 判 断 该 报 文 为 某 一 流量 的 后 续 
包 ， 进 入 后 续 包 处 理 流程 。 

这 就 是 强 叔 在 “1.5 状态 检测 和 会 话机 制 ” 一 节 中 提 到 的 “为 数据 流 的 第 一 个 报 文 
建立 会 话 ， 数 据 流 内 的 后 续 报 文 直接 匹配 会 话 转发 ， 不 需要 再 进行 规则 的 检查 ， 提 高 了 
转发 效率 。” 

我 们 先 介 绍 首 包 处 理 流程 。 

(1) 先 使 该 报 文 与 黑 名 单 匹 配 ， 若 报 文 源 地 址 命中 黑 名 单 ， 则 此 报 文 被 丢弃 ， 不 再 
进入 后 续 流 程 。 

(2) 查询 该 报 文 是 否 命 中 正 反 向 Server-map 表 ， 若 报 文 命中 Server-map 表 ， 记 录 
Server-map 表 中 的 信息 。 
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防火 墙 上 配置 NAT Server、NAT No-pat、 三 元 组 NAT、ASPF 等 功能 ， 会 生成 
Server-map 表 。 
。 NAT Server: 配置 完成 后 防火 墙 上 直接 生成 Server-map 表 。 若 报 文 匹 配 该 
Server-map 表 ， 刚 记录 Server-map 表 中 转换 后 目的 IP 地 址 和 端口 信息 ， 并 根据 
该 记录 继续 后 续 流 程 。 
。 NAT No-pat: 匹配 该 NAT No-pat 策略 的 报 文 ， 会 触发 生成 Server-map 表 。 后 续 
报 文 〈 这 里 的 后 续 报 文 不 是 首 包 /后 续 包 概念 中 的 后 续 包 ， 是 这 个 业务 的 后 续 报 
文 ) 查询 该 Server-map 表 ， 记 录 转 换 后 目的 卫 地 址 和 端口 信息 ， 并 根据 该 记录 
继续 后 续 流 程 。 
。 三 元 组 NAT: 匹配 该 三 元 组 NAT 策略 的 报 文 , 会 触发 生成 Server-map 表 。 后 续 
报 文 《同上 ) 查询 该 Server-map 表 ， 记 录 转 换 后 目的 卫 地 址 和 端口 信息 ， 并 根 
据 该 记录 继续 后 续 流程 。 这 块 还 要 分 情况 对 待 ， 匹 配 Server-map 表 的 报 文 受 不 
受 安全 策略 控制 是 由 firewall endpoint-independent filter enable 命令 决定 的 。 
。 ASPF: 在 安全 域 间或 域内 ， 针 对 特定 业务 配置 ASPF 功能 后 ， 防 火 墙 会 对 业务 
报 文 进行 检测 ， 检 测 到 的 报 文 会 触发 生成 Server-map 表 。 后 续 报 文 (同上 ) 查 
询 该 Server-map 表 ， 命 中 该 表 的 报 文 ， 不 再 进行 安全 策略 匹配 ， 直 接 按 该 表 信 
息 创 建新 会 话 。 
(3) 继续 根据 〈2) 的 记录 结果 ， 查 询 报 文 命中 哪 条 路 由 ， 优 先 查 询 策略 路 由 。 若 
未 命中 策略 路 由 ， 则 查询 路 由 表 ， 决 定 报 文 的 下 一 跳 和 出 接口 。 


[0 说 明 

为 什么 要 强调 根据 (2 ) 的 记录 结果 呢 ? 因为 此 时 报 文 尚 未 进行 地 址 转换 ， 所 以 这 里 的 
路 由 查询 是 使 用 命中 Server-map 表 后 虚拟 出 来 的 转换 后 的 报 文 进 行 查询 ， 这 样 做 是 为 
了 保证 最 终 经 过 防火 墙 各 种 处 理 完毕 的 报 文 能 够 正确 转发 。 


(4) 继续 查询 是 否 命中 安全 策略 ， 已 知 报 文 入 接口 源 地 址 、 判 断 出 报 文 出 接口 后 ， 
可 以 查询 到 该 出 入 接口 所 在 安全 区 域 的 安全 策略 配置 ， 若 报 文 没 有 匹配 到 安全 策略 或 匹 
配 到 的 安全 策略 的 动作 为 “ 阻 断 ” 则 报 文 被 丢弃 ， 不 再 继续 后 续 流程 ; 若 报 文 匹配 的 安 
全 策略 的 动作 为 “人 允许” 则 继续 后 续 流 程 。 

(5) 继续 查询 是 否 命中 源 NAT 策略 ， 若 报 文 匹配 到 一 条 源 NAT 策略 ， 则 记录 NAT 
转换 后 的 源 卫 地 址 和 端口 信息 。 

(6) 顺利 通过 安全 策略 匹配 检查 后 ， 终 于 走 到 这 一 步 : 根据 上 述 记 录 结 果 ， 创 建 
会 话 。 
后 续 包 处 理 ; 区 程 如 下 。 

该 流程 主要 判断 会 话 是 否 需 要 刷新 。 
当 为 首 包 创建 会 话 的 各 表 项 和 策略 ， 如 路 由 表 、 安 全 策略 等 发 生变 化 时 ， 会 话 需要 
根据 这 些 变化 相应 进行 刷新 。 会 话 刷 新 ， 也 意味 着 需要 重新 查询 路 由 表 、 安 全 策略 ， 来 
确定 该 后 续 包 的 走向 。 

需要 说 明 的 是 ， 这 里 的 会 话 刷新 ， 习 惯 上 仅 指 路 由 或 安全 策略 等 发 生变 化 ， 没 有 包 
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括 会 话 表 中 老化 时 间 的 刷新 (后续 包 会 一 直 刷 新 该 老化 时 间 的 ， 即 只 要 建立 连接 的 两 个 
通信 实体 之 间 持 续 不 断 地 交互 后 续 包 ， 那 么 该 连接 在 防火 墙 上 对 应 的 会 话 就 不 会 老化 )。 
总 结 如 下 。 
。 强 叔 在 开篇 中 提 到 防火 墙 与 路 由 器 的 区 别 , 对 于 路 由 器 来 说 使 出 浑身 解数 (通过 
路 由 表 ) 将 报 文 转发 出 去 即 可 , 而 对 于 防火 墙 来 说 要 作为 守护 神 坚决 阻挡 非法 报 
文 (只 有 通过 各 种 安全 检查 并 建立 会 话 表 的 报 文 方 可 能 被 转发 )。 所 以 防火 墙 丢 
弃 一 些 报 文 是 正常 的 处 理 流程 ， 包 括 第 一 阶段 的 解析 IP 报 文 头 、 单 包 攻击 ， 第 
二 阶段 的 黑 名 单 、 安 全 策略 ， 第 三 阶段 的 UTM 处 理 、 限 流 等 ， 都 是 报 文 的 主要 
。 进行 故障 定位 时 ， 防 火 墙 上 是 否 创建 了 指定 某 条 流量 的 会 话 是 要 考虑 的 关键 点 。 
若 示 创建 会 话 ， 则 应 考虑 报 文 是 否 未 到 达 防 火 墙 、 接 口 丢 包 、 命中 黑 名 单 或 被 安 
全 策略 deny、 无 路 由 、NAT 等 配置 出 现 问题 ， 若 创建 了 会 话 ， 则 向 后 续 的 安全 
业务 处 理 阶段 考虑 。 


A.1.3 ”查询 会 话 后 的 处 理 过 程 : 安全 业务 处 理 及 报 文 发 送 


报 文 在 首 包 处 理 流程 中 经 一 通 查 询 、 创建 会 话 后 , 就 与 后 续 包 处 理 流程 殊途同归 了 ， 
即 都 进入 本 阶段 〈 第 三 阶段 )。 
(1) 首先 进行 基于 卫 的 限 流 、IPS 等 UTM 业务 处 理 。 
(2) 报 文 顺利 通过 UTM 检查 之 后 ， 到 了 实质 性 的 地 址 转换 环节 : 根据 已 创建 的 会 
话 表 ， 进 行 目 的 地 址 转换 、 源 地 址 转换 。 
这 个 目的 地 址 转换 、 源 地 址 转换 对 应 配置 就 是 NAT Server、 源 NAT 策略 等 NAT 
功能 。 
那么 ， 如 果 想 要 准确 地 对 报 文 进行 源 地 址 转换 ， 有 两 个 常见 的 points 需要 关注 。 
。 一 是 报 文 在 前 面 流 程 中 是 否 命 中 了 NAT Server 的 反 向 Server-map 表 ， 若 已 经 命 
中 , 那么 报 文 会 根据 反 向 Server-map 表 进 行 源 地 址 转换 , 不 会 再 往 后 匹配 源 NAT 
策略 了 。 
。 二 是 报 文 在 后 续 流程 中 是 否 计划 要 进行 VPN 加 封装 ， 如 果 在 此 时 定义 该 条 数据 
流 进行 了 源 地 址 转换 ， 那 么 后 续 该 数据 流 就 无 法 进入 VPN 协商 流程 了 。 
因为 NAT Server 处 理 优先 级 很 高 ， 所 以 报 文 走 入 歧途 可 能 性 就 很 小 。 但 源 NAT 和 
VPN 处 理 都 排 在 NAT Server 之 后 ， 所 以 非常 容易 受 NAT Server 的 干扰 ， 导 致 业务 异常 。 
(3) 该 转换 的 就 转换 ， 该 过 滤 的 就 过 滤 ， 一 切 安全 业务 流程 顺利 通过 后 ， 报 文 终于 
走 到 了 分 发 的 十 字 路 口 。 
。 如 果 报 文 的 目的 地 址 为 外 部 网 络 的 地 址 ， 防 火 墙 转发 该 报 文 ， 由 接口 发 送出 去 。 
。 如 果 报 文 的 目的 地 址 为 防火 墙 本 身 (ping 等 协议 报 文 )， 会 被 上 送 至 防火 墙 设备 


管理 层面 处 理 。 
。 如 报 文 是 VPN 报 文 〈 收 到 的 VPN 报 文 ， 防 火 墙 为 隧道 终点 )， 则 会 被 解 封装 。 
并 在 解 封装 后 重 走 一 次 上 述 第 一 、 二 、 三 阶段 处 理 流程 。 


。 如 报 文 是 准备 进入 VPN 隧道 的 报 文 (防火 墙 为 VPN 隧道 起 点 )， 则 会 进行 VPN 
封装 。 
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求同存异 : 集中 式 与 分 布 式 防火 墙 差 异 对 报 文 处 理 流程 的 
影响 


防火 墙 大 同 的 报 文 处 理 流程 介绍 完毕 ， 我 们 再 来 看 一 下 集中 式 与 分 布 式 架 构 的 区 别 
会 导致 哪些 差异 。 


对 于 集中 式 低 端 防火 墙 USG2000/3000/5000/6000 来 说 ， 报 文 会 被 上 送 至 一 个 集 

中 的 CPU 模块 (可 能 由 多 个 CPU 组 成 ) 进行 处 理 。 

集中 式 防 火 墙 一 般 为 盒 式 设备 ,可 以 插 接 多 种 扩展 接口 卡 , 但 设备 的 总 机 性 能 恒 

定 ， 即 取决 于 该 设备 配置 的 CPU 模块 处 理 能 力 。A.1 华为 大 同 : 全 系列 状态 检 

测 防火 墙报 文 处 理 流程 中 介绍 的 USG5000 防火 墙报 文 处 理 流程 即 为 其 全 部 

对 于 分 布 式 高 端 防火 墙 USG9500 来 说 ， 报 文 处 理 流程 就 会 复杂 一 些 ， 分 为 多 种 

情况 ，A.1 华为 大 同 : 全 系列 状态 检测 防火 墙报 文 处 理 流程 中 介绍 的 报 文 处 理 

流程 是 其 中 一 个 最 核心 的 子 集 一 一 SPU 板 业 务 处 理 流程 。 

分 布 式 防火 墙 一 般 为 框 式 设备 ， 以 USG9500 来 说 ， 由 两 块 标 配 主 控 板 MPU、 交 

换 网 板 SFU、 接 口 板 LPU、 业 务 板 SPU 组 成 ， 其 中 LPU 与 SPU 的 槽 位 可 混 插 ， 

客户 可 按 需 购买 。 相 比 集中 式 防 火 墙 ， 分 布 式 防火 墙 由 各 种 单 板 组 成 ， 每 种 单 板 

各 司 其 责 。 

一 主 控 板 MPU: 主要 负责 系统 的 控制 和 管理 工作 , 包括 路 由 计算 、 设 备 管理 和 
维护 、 设 备 监控 等 。 

一 ”交换 网 板 SFU: 主要 负责 各 板 之 间 数 据 交换 。 

一 ”接口 板 LPU: 主要 负责 接收 和 发 送 报 文 ， 以 及 QoS 处 理 等 。 

一 ”业务 板 SPU: 主要 负责 防火 墙 的 安全 业务 处 理 ， 包 括 安全 策略 、NAT、 攻 击 
防范 、VPN 等 。 设 备 总 机 性 能 随 插 接 SPU 板 的 数量 增加 而 线性 增加 ， 这 是 
分 布 式 防火 墙 的 特点 和 价值 所 在 。 





那么 我 们 来 看 一 下 ， 各 类 报 文 在 USG9500 上 是 如 何 被 处 理 的 ， 如 图 A-2 所 示 。 





图 A-2 分 布 式 高 端 防火 墙 USG9500 单 板 间 数 据 流 走向 
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[0 说 明 

e 《DG 表示 经 过 防火 墙 访问 其 他 网 络 设备 的 报 文 ， 由 业务 板 专门 进行 安全 业务 处 理 ， 即 
对 应 A.1 华为 大 同 : 全 系列 状态 检测 防火 墙报 文 处 理 流程 中 介绍 的 报 文 处 理 流程 。 

。 @@) 约 表示 通过 业务 板 到 防火 墙 自身 的 报 文 、 或 防火 墙 自身 经 业务 板 发 出 的 报 文 。 如 
Ping、telnet 登录 、FTP 访问 防火 墙 的 报 文 ， 以 及 网 管 监控 的 SNMP 报 等 文 。 

。 @@)@ 表 示 接 口 板 直接 上 送 主 控 板 的 报 文 ， 或 主 控 板 直接 由 接口 板 发 出 的 报 文 ,不 过 
业务 板 ， 如 OSPF 路 由 学 习 报 文 ，VRRP Hello 报 文 ，IP-LINK 探测 报 文 等 。 


上 文 已 经 提 到 ，@D@@ 是 防火 墙 业务 处 理 的 核心 ， 也 正 是 防火 墙 的 安全 防护 价值 所 在 ; 
@@ 多 用 于 设备 管理 、 定 位 故障 ; @@ 多 用 于 网 络 互联 如 路 由 学 习 。 

还 有 一 个 更 复杂 的 问题 ， 当 一 台 分 布 式 防火 墙 配 置 多 个 业务 板 时 ， 报 文 经 过 接口 板 
处 理 后 ， 会 被 送 至 哪个 业务 板 呢 ? 如 图 A-2 中 的 @@@ 报 文 都 会 经 业务 板 处 理 ， 那 么 
会 被 送 至 SPU1 还 是 SPU2 呢 ? 

这 时 会 有 选择 “由 哪 块 SPU 板 进 行业 务 处 理 ” 的 动作 ， 即 USG9500 产品 文档 中 提 
到 的 HASH 选 板 来 搞定 。 默 认 配 置 是 根据 报 文 的 源 + 目 地 址 经 过 运算 选择 。 由 于 配置 了 
多 个 SPU 板 ， 一 个 业务 可 能 在 防火 墙 多 个 业务 板 分 别 建立 会 

例如 ， 以 PC 访问 Web 服务 器 来 说 ， 假 设 PC 发 往 Web 服务 器 在 业务 板 SPU1 上 
建立 了 会 话 , 而 Web 服务 器 的 回应 报 文 可 能 会 由 业务 板 SPU2 处 理 。 一 句 话 ， 就 是 请 
求 报 文 与 回应 报 文 有 可 能 被 分 配 到 防火 墙 的 不 同业 务 板 处 理 。 那 么 可 能 会 产生 一 个 问 
题 : 由 于 请 求 报 文 基 于 业务 板 SPU1 建立 了 会 话 ， 而 回应 报 文 查 不 到 反 向 会 话 被 丢 
弃 。 实 际 上 ，USG9500 在 建立 业务 板 的 会 话 表 时 ， 同 时 会 进行 HASH 预测 ， 准 确 预 
测 回应 报 文 会 被 哪 块 业务 板 处 理 ,， 并 在 该 业务 板 上 同步 建立 起 一 条 反 向 会 话 , 保证 回 
应 报 文 能 够 被 正确 转发 。 当 然 ， 正 反 向 会 话 间 会 定时 同步 ,保证 同步 老化 、 统 计 报 文 
信息 等 。 

下 面 我 们 以 实例 来 验证 防火 墙报 文 处 理 流程 ， 不 需要 再 死记 配置 限制 ， 而 是 根据 逻 
辑 直 接 判 断 如 何 正确 配置 。 


A.2.1 ” 当 安 全 策略 遇 上 NAT Server 


在 eNSP 模拟 器 上 ，PC1 (1.1.1.2)、 防 火 墙 USG5000、FTP 服务 器 (192.168.1.2) 
简单 组 网 ， 如 图 A-3 所 示 。 


Trust Untrust 


公 网 IP 地 址 FTP 服务 器 
1.1.1.5/24 192.168.1.2/24 





防火 二 
图 A-3 PC、 防火墙 与 FTP 服务 器 的 简单 组 网 


在 防火 墙 上 配置 NAT Server， 将 FTP 服务 器 地 址 转化 为 与 PC1 同一 网 段 的 地 址 ， 配 
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置 如 下 。 
REW] natserver 0 global 1.1.1.5 inside 192.168. 

车 希望 PC1 及 其 他 多 个 PC 能 且 只 能 访问 该 FTP 服务 器 ,应 该 如 何 配置 严格 的 安全 
策略 ? 实际 是 基于 固定 的 目的 地 址 配置 安全 策略 问题 。 

根据 防火 墙报 文 处 理 流程 ,PC1 访问 FTP 服务器 的 报 文 先 虚 拟 进行 NAT Server 转换、 


查询 Server-Map 表 ， 再 进行 安全 策略 处 理 。 那 么 ， 该 安全 策略 中 的 目的 地 址 应 配置 为 该 
FTP 服务 器 的 私 网 地 址 〈 即 inside 地 址 )。 











其 验证 过 程 如 下 。 
(1) 关闭 防火 墙 所 有 域 间 缺 省 包 过 滤 ， 只 保留 上 述 在 Trust 与 Untrust 域 间 配置 的 该 
条 安全 策略 。 


(2) 在 PC1 上 访问 FTP 服务 器 ， 可 以 成 功 看 到 FTP 服务 器 的 文件 列表 ， 如 图 A-4 
所 示 。 


惟 AScH DAuto dhec 


服务 吉文 件 列表 


























A-4 ”eNSP 中 客户 端 PC 访问 FTP 服务 器 成 功 


(3) 查看 防火 墙 上 的 会 话 表 ， 可 以 看 到 FTP 服务 器 已 经 做 了 NAT Server， 且 FTP 
控制 通道 与 数据 通道 均 已 建立 。 







, 
(4) 修改 上 述 安全 策略 ， 将 目的 地 址 改 为 FTP 服务 器 NAT Server 的 global 地 址 。 
再 使 用 PC1 访问 该 FTP 服务 器 , 发 现 无 法 成 功 登录 ; 查看 防火 墙 会 话 表 , 会 话 表 项 为 0。 

所 以 ， 可 以 得 出 结论 : 防火 墙报 文 处 理 流程 中 查询 Server-Map 表 在 前 ， 安 全 策略 
处 理 在 后 。 当 需求 为 允许 外 网 客户 端 访问 经 过 NAT Server 转换 的 内 部 服务 器 时 ， 安 全 策 
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略 配置 允许 到 达 的 目的 地 址 为 该 服务 器 的 私 网 地 址 ， 而 非 NAT Server 的 global 地 址 。 
A.2.2 当 源 NAT 遇 上 NAT Server 
某 公 司 分 部 与 总 部 通过 Internet 进行 IPSec 互联 ， 如 图 A-5 所 示 。 


Trust Untrust Trust 





Server 
192.168.1.2/24 


图 A-5 某 公司 分 部 与 总 部 互联 组 网 图 


。 总 部 用 户 (192.168.1.0/24) 访问 Internet 时 经 过 源 NAT 转换 ， 而 与 分 部 通信 时 
不 进行 源 NAT 转换 。 

e。 总 部 部 署 了 一 台 HTTP Server (192.168.1.2)， 外 部 用 户 访问 HTTP Server 时 经 
NAT Server 转换 。 

部 署 完 之 后 ， 发 现 总 部 192.168.1.0/24 网 段 用 户 可 以 正常 上 网 ， 也 能 和 分 部 的 
10.0.0.0/24 网 段 正 常 通信 。 分 部 可 以 访问 总 部 HTTP Server 的 私 网 地 址 。 但 总 部 HTTP 
Server 无 法 访问 分 部 10.0.0.0/24 网 段 的 资源 ， 删 除 NAT Server 后 就 能 正常 访问 。 

1. 检查 总 部 FW1 的 配置 

关键 配置 如 下 。 


# 
acl number 3000 
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.0.0.255 
ipsec policy mapl 10 manual 
security acl 3000 
proposal tranl 
# 
nat-policy interzone trust untrust outbound 
policy 0 // 访 问 分 部 的 流量 不 做 源 地 址 转换 
action no-nat 
policy source 192.168.1.0 mask 24 
policy destination 10.0.0.0 mask 24 


policy 5 /总 部 员工 上 网 进行 源 NAT 转换 
action source-nat ， 
policy source 192.168.1.0 mask 24 
easy-ip GigabitEthernetO/0/1 
# 
nat server protocol tcp global 1.1.1.1 9980 inside 192.168.1.2 80 // 将 HTTP Server 的 私 网 地 址 192.168.1.2: 80 映射 成 为 
1.1.1.1: 9980 


2. 再 查看 FW1 的 Server-map 表 


[FW] display firewall server-map 
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Nat Server, any -> 1.1.1.1:9980[192.168.1.2:80], Zone: --- : 
Protocol: tcp (Appro: unkown), Left-Time: --:--:--, Addr-Pootl: --- 
VPN: public -> public 


Nat Server Reverse, 192.168.1.2[1.1.1.1] -> any, Zone: — 
Protocol: any (Appro: --), Left-Time: --: 一 :一 , Addr-Pool: -一 
VPN: public -> public 

正 向 Server-map 表 表 示 任 意外 网 用 户 访问 HTTP Server 公 网 地 址 1.1.1.1:9980 时 ， 
报 文 的 目的 地 址 被 转换 为 192.168.1.2:80。 

反 向 Server-map 表 表示 HTTP Server 主动 访问 网 络 时 ， 也 可 以 进行 NAT Server 转换 ， 
报 文 的 源 地 址 由 192.168.1.2 转换 为 1.1.1.1。 

由 于 防火 墙报 文 处 理 流程 规定 NAT Server 处 理 在 前 ， 源 NAT 处 理 在 后 。 所 以 报 文 
命中 了 NAT Server 的 反 向 Server-map 表 后 , 不 再 走 源 NAT 流程 。 因此 总 部 HTTP Server 
无 法 访问 分 部 10.0.0.0/24 网 段 的 资源 。 

这 个 问题 的 解决 办 法 是 ， 配 置 NAT Server 时 增加 no-reverse 参数 ， 不 生成 反 向 
Server-map 表 。 这 样 HTTP Server 访问 分 部 资源 的 流量 就 可 以 匹配 源 NAT 策略 ， 不 做 源 
NAT 转换 (no-nat) 直接 进入 VPN 处 理 流程 。 

[FW] nat server protocol tep global 1.1.1.1 9980 inside 192.168.1.2 80 no-reverse 


防火 墙 与 报 文 处 理 流程 相关 的 高 级 配置 技巧 还 有 很 多 ， 本 文 难以 穷尽 只 捡 两 个 实 
际 最 常用 的 NAT 功能 的 例子 ， 供 大 家 参考 。 


强 叔 提问 
1. 报 文 命中 NAT Server 的 反 向 Server-map 表 后 ， 进 行 源 地 址 转换 ， 然 后 该 报 文 还 
会 匹配 源 NAT 策略 再 次 进行 源 地 址 转换 吗 ? 


2. 对 于 存在 多 块 SPU 业务 版 的 分 布 式 防火 墙 USG9500 来 说 ， 如何 保证 回应 报 文 也 
可 以 命中 会 话 ? 
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在 “第 6 章 IPSec VPN” 中 ， 我 们 介绍 了 IPSec 隧道 两 端 设备 使 用 证 书 进行 身份 认 
证 的 内 容 , 在 “第 8 章 SSLVPN” 中 ， 我 们 也 介绍 了 证 书 认证 的 相关 内 容 。 作 为 网 络 世 
界 的 “身份 证 ” 证 书 在 身份 认证 的 场景 中 已 经 得 到 了 普遍 应 用 。 

大 家 可 能 已 经 习惯 了 用 户 名 、 密 码 的 认证 方式 , 而 对 证 书 这 种 认证 方式 还 不 太 了 解 。 
为 此 ， 强 叔 带 来 了 本 节 内 容 ， 揭 示 证 书 的 来 龙 去 脉 和 使 用 方法 ， 帮 助 大 家 提升 内 力 。 


B.1 公 钥 密码 学 


在 介绍 证 书 之 前 ， 我 们 先 来 了 解 一 些 密码 学 的 基本 概念 ， 包 括 对 称 密码 学 和 非 对 称 
密码 学 ， 为 理解 证 书 的 实现 原理 打 好 基础 。 


B.1.1 基本 概念 


首先 ， 一 提 到 加 密 ， 我 们 自然 会 想到 通信 双方 使 用 相同 的 算法 和 密 钥 去 加 密 和 人 解密 
数据 。 加 密 和 解密 过 程 中 用 到 的 密 钥 是 双方 都 知道 的 ， 即 双方 的 “共享 密 钥 ”。 这 种 加 密 
方式 称 为 对 称 密码 学 ， 也 叫 作 单 钥 密码 学 。 
如 图 B-1 所 示 ，A 向 B 发 送 数据 ，A 使 用 双方 事先 协商 好 的 算法 和 密 钥 来 加 密 数 据 ， 
B 使 用 相同 的 算法 和 密 钥 来 解密 数据 。 反 之 同 理 ，B 向 A 发 送 数据 时 ，B 加 密 数据 而 A 
解密 数据 ， 双 方 使 用 的 都 是 相同 的 算法 和 密 钥 。 
A @, B 
fe 事先 协商 算法 请 各 旬 60 四 虽 
@ 明文 |; | 
全 [67] brs: 要 
Ho 
本 mig 
: : Helo 
| 明文 
图 B-1 对 称 密 钥 加 密 和 解密 示意 图 


[DO 说 明 
我 们 用 “算法 [ 密 钥 ]” 来 表示 使 用 该 算法 和 密 钥 对 数据 进行 加 密 或 解密 处 理 ， 下 文中 
出 现 的 类 似 表达 方式 含义 相同 。 


对 称 密码 学 的 优点 是 效率 高 ， 开 销 小 ， 适 合 加 密 大 量 的 数据 。 但 对 称 密码 学 要 求 通 
信 双 方 事先 协商 好 密 钥 ， 这 就 要 求 在 协商 过 程 中 必须 做 好 保密 ， 密 钥 只 能 让 使 用 的 人 知 
道 ， 不 能 泄露 。 另 外 ， 如 果 通 信 方 数量 庞大 ， 比 如 A 需要 和 数 百 个 对 象 通信 ， 为 了 安全 
起 见 ， 就 需要 在 A 上 维护 数 百 个 不 同 的 共享 密 钥 ， 这 就 为 密 钥 更 新 和 管理 带 来 了 诸多 不 便 。 
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为 了 解决 对 称 密码 学 面临 的 问题 ， 公 钥 密 码 学 横 空 出 世 ， 开 创 了 密码 学 的 新 方向 。 
公 钥 密码 学 使 用 了 两 个 不 同 的 密 钥 : 一 个 可 对 外 界 公 开 ， 称 为 “ 公 钥 ” 一 个 只 有 所 有 者 
知道 ， 称 为 “ 私 钥 ”。 这 一 对 密 钥 具有 如 下 特点 。 


。 用 公 钥 加 密 的 信息 只 能 用 相应 的 私 钥 解密 , 反之 用 私 钥 加 密 的 信息 也 只 能 用 相应 ， 


的 公 钥 解密 ， 即 用 其 中 任 一 个 密 钥 加 密 的 信息 只 能 用 男 一 个 密 钥 进行 解密 。 
。 要 想 由 一 个 密 钥 推出 另 一 个 密 钥 ， 在 计算 上 是 不 可 能 的 。 
由 于 公 钥 密码 学 使 用 了 两 个 不 同 的 密 钥 ， 所 以 属于 非 对 称 密码 学 ， 也 称 为 双 钥 密码 
学 。 目 前 常用 的 公 钥 密码 学 算法 有 以 下 几 种 。 
。 RSA (Rivest，Shamir and Adleman)， 这 个 由 三 位 发 明 者 名 字 命 名 的 算法 是 当前 
最 著名 、 应 用 最 广泛 的 公 钥 密码 学 算法 。RSA 可 实现 数据 加 解密 、 真 实 性 验证 
和 完整 性 验证 。 
。 DSA (Digital Signature Algorithm), 中 文 名称 叫 数字 签名 算法 , 可 实现 签名 功能 。 
本 节 内 容 对 DSA 不 做 过 多 的 介绍 ， 大 家 可 以 自行 查阅 相关 资料 。 
、 。 DH (Diffie-Hellman)， 也 是 由 发 明 者 名 字 命 名 的 一 种 密 钥 交换 算法 ， 通 信 双 方 
通过 一 系列 的 数据 交换 ， 最 终 计 算出 密 钥 ， 以 便 用 于 以 后 的 报 文 加 密 。 在 IPSec 
中 就 用 到 了 DH 算法 ,使 得 建立 IPSec 隧道 的 两 端 网 关 设备 可 以 计算 出 密 铀 ， 而 
不 必 担 心 密 钥 泄露 ， 我 们 在 IPSec 一 章 中 对 此 已 经 进行 过 介绍 。 


- B.1.2 ”数据 加 解密 


下 面 我 们 就 以 RSA 算法 为 例 ， 介 绍 通信 双方 如 何 实现 数据 加 解密 功能 。 如 图 B-2 

”所 示 ，A 和 B 各 自生 成 自己 的 公 钥 和 私 钥 ， 并 且 相 互 交换 了 双方 的 公 钥 (至 于 双方 是 通 
过 什么 途径 来 交换 公 钥 ,我 们 先 留 个 伏笔 后 面 会 讲 到 )。A 要 向 B 发 送 数据 ，A 使 用 B 

- 的 公 钥 加 密 数 据 然 后 发 送 给 B，B 收 到 后 使 用 自己 的 私 钥 解密 数据 。 因 为 其 他 人 没有 B 
的 私 钥 , 即使 截获 报 文 也 无 法 解密 ,这 就 保证 了 数据 传输 的 安全 性 。B 向 A 发 送 数据 时 ， 
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图 B-2 公私 密 钥 对 加 密 和 解密 示意 图 
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与 对 称 密码 学 相 比 ， 公 钥 密 码 学 加 密 数据 的 计算 非常 复杂 ， 而 且 开销 大 、 速 度 较 慢 ， 
所 以 不 适用 于 加 密 大 量 数据 的 场景 。 在 实际 使 用 中 ， 通 信 双 方 通 常会 使 用 公 钥 密码 学 来 
交换 密 钥 素材 ， 双 方 最 终 计 算出 密 钥 ， 而 用 对 称 密码 学 来 加 密实 际 的 数据 ， 两 者 配合 使 
用 ,保证 了 加 密 速度 和 安全 性 。 
如 图 B-3 所 示 ，A 向 B 发 送 数 据 ，A 使 用 B 的 公 钥 把 加 密 算 法 和 密 钥 素材 加 密 后 发 
给 B，B 收 到 后 使 用 自己 的 私 钥 解密 ， 这 样 就 得 到 了 算法 和 密 钥 素材 (B 也 可 以 将 自己 
要 采用 的 算法 和 密 钥 素 材 发 给 A， 即 双方 通过 协商 方式 来 确定 算法 和 密 钥 素材 )， 双 方 根 
据 密 钥 素材 计算 出 密 钥 。 然 后 就 可 以 通过 对 称 密码 学 的 机 制 ， 使 用 相同 的 算法 和 密 钥 对 
数据 进行 加 密 和 解密 。 
生成 公私 密 钥 对 生成 公私 密 铀 对 
公 角 私 铀 A ebb B 公 钥 。 私 包 


A 人 6 A@” 6 攻 BG a 






算法 [ 密 钥 ] [ae \ 





密 文 | ! 
名 施法 [村 
:ae 
: 明文 
图 B-3 对 称 密 钥 和 公私 密 钥 对 配合 使 用 示意 图 


B.1.3 ”真实 性 验证 


除了 加 解密 ，RSA 还 能 实现 真实 性 验证 ， 即 身份 认证 功能 ， 这 也 是 利用 了 公 钥 密码 
学 中 由 任 一 个 密 钥 加 密 的 信息 只 能 用 另 一 个 密 钥 进 行 解密 这 一 原理 。 

如 图 B-4 所 示 ，A 要 认证 B 的 身份 ， 首 先 A 向 B 发 送 数据 〈 例 如 一 串 字符 串 )，B 
,用 自己 的 私 钥 将 数据 加 密 ， 然 后 发 送 给 A。A 用 自己 所 持 有 的 B 的 公 钥 解密 ， 将 解密 后 
的 数据 和 原始 数据 进行 对 比 ， 如 果 一 致 ， 说 明 数 据 的 确 是 由 B 发 过 来 的 。 因 为 B 的 私 钥 
只 能 由 B 持 有 ,因此 A 可 以 通过 判断 对 方 是 否 持 有 私 钥 来 判断 对 方 是 否 就 是 B， 进 而 实 
现 了 对 B 的 身份 认证 ， 这 就 是 使 用 公 钥 密码 学 来 进行 身份 认证 的 理论 基础 。 
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生成 公私 密 钥 对 生成 公私 密 钥 对 
公 钥 。 私 铀 A 交换 各 自 公 钥 公 钥 。。 私 铀 


oa 








67] we 





是 否 一 致 ? 


图 B-4 真实 性 验证 示意 图 


加 解密 功能 是 数据 发 送 方 使 用 接收 方 的 公 钥 加 密 ， 接 收 方 使 用 自己 的 私 钥 解 密 。 而 
身份 认证 功能 是 被 认证 方 使 用 自己 的 私 钥 进行 加 密 ， 认 证 方 使 用 被 认证 方 的 公 钥 进行 


B.1.4 ”完整 性 验证 


使 用 私 钥 加 密 公 和 钥 解 密 这 种 方式 ， 还 能 实现 完整 性 验证 ， 即 签名 功能 。 所 谓 签名 ， 
就 是 在 数据 的 后 面 再 加 上 一 段 内 容 ， 可 以 证 明 数 据 没 有 被 修改 过 ， 那 怎么 生成 签 
名 呢 ? 

发 送 方 可 以 用 自己 的 私 钥 加 密 数 据 ， 然 后 连同 数据 一 起 发 给 接收 方 。 但 是 ， 由 于 公 
钥 密码 学 计算 复杂 、 速 度 慢 的 原因 ， 通 常 发 送 方 一 般 不 直接 使 用 私 钥 加 密 数据 ， 而 是 先 
将 原始 数据 经 过 某 种 计算 得 出 一 段 较 短 的 数据 ， 然 后 发 送 方 使 用 自己 的 私 钥 加 密 这 段 新 
的 数据 ， 这 和 直接 加 密 原始 数据 的 效果 是 一 样 的 ， 而 且 还 兼顾 了 安全 和 处 理 速度 。 这 种 
计算 方式 是 通过 HASH 密码 学 来 实现 的 。 

HASH 密码 学 可 以 将 任意 长 的 字符 串通 过 哈 希 计算 出 固定 长 度 字 符 串 ， 并 且 该 计算 
是 单 向 运算 ， 无 法 逆 推 。 最 重要 的 是 ， 原 字符 串 任意 字符 的 变化 都 会 导致 不 同 的 计算 结 
果 。HASH 计算 后 得 出 的 信息 通常 称 为 原 字符 串 的 摘要 信息 ， 也 可 以 称 为 指纹 信息 。 通 
过 对 比 摘要 信息 ， 就 可 以 判断 数据 是 否 被 修改 , 所 以 HASH 密码 学 通常 用 于 保证 数据 的 
完整 性 。 常见 的 HASH 算法 有 MD (Message Digest algorithm ) 系列 、SHA (Secure Hash 
Algorithm) 系列 等 ， 之 前 在 IPSec 一 章 中 我 们 也 都 配置 过 这 些 算法 。 

如 图 B-5 所 示 ，A 向 B 发 送 数 据 之 前 ， 先 使 用 HASH 算法 将 数据 进行 HASH 计算 ， 
得 出 摘要 信息 。 然 后 使 用 自己 的 私 钥 将 摘要 信息 加 密 ， 形 成 签名 ， 最 后 将 数据 和 签名 一 
并 发 给 B。B 收 到 后 , 使 用 相同 的 HASH 算法 也 对 数据 进行 HASH 计算 , 得 到 摘要 信息 。 
然后 B 使 用 A 的 公 钥 对 签名 进行 解密 ， 得 到 另 一 个 摘要 信息 。B 将 两 个 摘要 信息 进行 对 
比 ， 如 果 两 者 一 致 ， 就 说 明 数 据 确实 是 从 A 发 过 来 的 ， 并 且 没 有 被 修改 过 ， 这 样 既 验 证 
了 A 的 身份 又 实现 了 数据 完整 性 保护 。 
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图 B-5 完整 性 验证 示意 图 
[0 说 明 


为 了 便于 讲解 ,图 B-5 中 A 发 给 B 的 信息 没有 加 密 ， 实际 情况 下 ,A 会 使 用 通过 计算 
得 出 的 密 钥 将 信息 加 密 后 再 发 给 B，B 使 用 相同 的 密 钥 解 密 后 再 进行 处 理 。 


我 们 花费 了 一 些 笔墨 介绍 公 钥 密码 学 的 原理 ， 相 信 大 家 对 公 钥 密码 学 已 经 有 了 初步 
的 了 解 。 必 须 强调 一 点 ， 公 钥 密 码 学 能 够 保证 安全 的 重要 前 提 是 私 钥 必 须 得 到 安全 妥善 
的 保存 ， 不 能 被 泄露 。 接 下 来 我 们 便 要 解决 前 面 留 下 的 问题 ， 即 通信 双方 是 通过 什么 途 
径 来 获取 对 方 的 公 钥 。 

通常 情况 下 , 通信 双方 在 每 次 通信 时 都 把 自己 的 公 钥 发 给 对 方 , 这 是 最 直接 的 方法 。. 
但 是 这 种 方法 存在 安全 问题 ， 因 为 谁 都 可 以 生成 公 铀 和 私 钥 ， 仅 赁 一 个 公 钥 ， 我 们 无 法 
判断 收 到 的 公 钥 到 底 是 不 是 对 方 的 。 除 非 对 方 把 公 铀 和 身份 信息 同时 发 送 过 来 ， 并 且 有 
绝对 可 信 的 第 三 方 做 担保 ， 证 明 这 个 公 钥 确实 是 发 送 方 的 。 也 就 是 说 ， 通 信 双 方 就 需要 
一 个 安全 可 信 的 载体 来 交换 公 钥 ， 这 个 载体 就 是 证 书 。 


B.2 证 书 


证 书 ， 也 叫 作 数字 证 书 ， 是 网 络 世界 中 的 “身份 证 ?。 证 书 将 持 有 者 的 身份 信息 和 
公 钥 关联 到 一 起 ， 保 证 公 钥 确实 是 这 个 证 书 持 有 者 的 ， 通 过 证 书 就 可 以 确认 持 有 者 的 身 
份 。 证 书 由 权威 的 、 公 正 的 、 可 信任 的 第 三 方 机 构 颁 发 ， 我 们 把 证 书 的 颁发 机 构 称 为 CA 
(Certificate Authority)， 相 当 于 现实 生活 中 的 公安 局 。 


B.2.1 ”证 书 属性 


公 钥 是 通过 证 书 来 向 外 界 公开 分 发 的 ， 证 书 中 必然 会 含有 持 有 者 的 公 钥 信息 。 除 此 
之 外 ,证书 中 还 包括 哪些 信息 呢 ? 图 B-6 展示 了 一 个 遵循 X.509 v3 版 本 规范 的 证 书 格式 ， 
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我 们 简要 介绍 一 下 其 中 的 关键 信息 。 

。 签名 算法 : 生成 该 证 书 的 签名 时 所 使 用 的 HASH 密 
码 学 算法 和 公 钥 密码 学 算法 。 
颁发 者 : 谁 颁发 了 这 个 证 书 ， 即 CA 的 名 称 。 
主题 : 该 证 书 是 颁发 给 谁 的 , 即 证 书 持 有 者 的 名 称 。 
公 钥 信息 : 证 书 持 有 者 的 公 钥 信息 。 
签名 : CA 对 该 证 书 的 签名 ， 又 叫 作 CA 的 指纹 
信息 。 

图 B-7 展示 了 证 书 中 签名 的 形成 过 程 ， 操 作 都 是 在 证 志 
书 颁发 之 前 ， 也 就 是 在 CA 上 来 进行 的 。 首 先 ，CA 使 用 签 图 B-6 证 书 属性 
名 算法 中 的 HASH 密码 学 算法 〈 如 SHA1) 生成 证 书 的 摘要 信息 ， 然 后 使 用 签名 算法 中 
的 公 钥 密码 学 算法 〈 如 RSA)， 配 合 CA 自己 的 私 钥 对 摘要 信息 进行 加 密 ， 最 终 形成 
签名 。 











RSA [ca 的 私 钥 食 F | 
J 
-"— 


图 B-7 证 书签 名 生成 过 程 
B.2.2 证书 颁发 


通过 前 面 的 介绍 我 们 了 解 到 , 证 书 中 包含 了 公 钥 信息 , 而 公 钥 和 私 钥 必 须 成 对 出 现 ， 
所 以 公私 密 钥 对 的 存在 就 变 成 了 制作 证 书 的 前 提 。 那 么 公私 密 钥 对 是 如 何 生 成 的 呢 ? 不 
同 网 络 设备 的 生成 方式 有 所 差别 。 
。 对 于 PC 来 说 ， 系 统 没 有 提供 直接 生成 公私 密 钥 对 的 功能 ， 所 以 一 般 都 是 由 CA 
来 帮助 PC 生成 公私 密 钥 对 ， 在 此 基础 上 生成 证 书 ， 然 后 PC 将 CA 生成 的 公私 
密 钥 对 和 证 书 同 时 导入 自己 的 系统 中 。 此 时 CA 就 兼顾 了 证 书 颁发 和 密 钥 对 管理 
的 功能 。 
。 对 于 防火 墙 来 说 , 我 们 可 以 先 在 防火 墙 上 生成 公私 密 钥 对 ,然后 将 公 钥 以 及 其 他 
一 些 信息 提供 给 CA，CA 根据 这 些 信息 来 生成 证 书 ， 防 火 墙 只 导入 生成 后 的 证 
书 。 当 然 ， 也 可 以 由 CA 来 帮助 防火 墙 生 成 公私 密 钥 对 ， 在 此 基础 上 生成 证 书 ， 
然后 防火 墙 将 CA 生成 的 公私 密 钥 对 和 证 书 同时 导入 , 省 去 了 在 防火 墙 上 生成 公 
私密 钥 对 的 过 程 。 
如 果 从 Verisign、Geotrust、Globalsign 等 专业 的 证 书 颁发 机 构 申请 证 书 ， 操 作 繁 琐 
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也 不 灵活 。 其 实 我 们 可 以 自己 搭建 一 个 CA， 我 们 作为 CA 的 管理 员 来 为 网 络 中 需要 证 
书 的 设备 如 PC、 防火 墙 等 来 生成 证 书 。 搭 建 CA 的 方式 有 很 多 种 , 常用 的 Windows Server 
操作 系统 就 可 以 配置 成 CA， 为 网 络 设备 生成 公私 密 钥 对 和 证 书 ， 也 可 以 根据 设备 提交 
的 信息 只 生成 证 书 。 另外 , 一 些 开源 的 第 三 方 证 书 管理 软件 如 XCA 也 能 够 作为 CA 来 为 
网 络 设备 生成 公私 密 钥 对 和 证 书 。 

CA 生成 证 书后 ， 会 把 证 书 以 文件 的 形式 颁发 给 使 用 者 。 常 见 的 证 书 存储 格式 如 
表 B-1 所 示 。 





表 B-1 常见 的 证 书 存 储 格式 

二 进 制 编码 ， 后 缀 名 .der/.cer/.ert 

Ca 不 包含 私 钥 
BASE 64 编码 ， 后 级 名 .pemy/.cer/.crt 

EM 不 包含 私 钥 
PKCS 编码 ， 后 级 名 .p12 

PKCS #12 各 二 各 全 
企 注意 


公私 密 钥 对 必须 成 对 出 现 才 能 保证 公 钥 密 钥 学 正常 运转 ， 所 以 如 果 CA 同时 为 设备 生 
成 了 公私 密 钥 对 和 证 书 ， 就 需要 将 公私 密 钥 对 (主要 是 其 中 的 私 钥 ) 和 证 书 同时 颁发 
给 设备 ， 颁 发 时 需要 根据 不 同情 况 选 择 证 书 的 存储 格式 。 例 如 ， 颁 发 给 PC 时 就 要 选 
择 PKCS #12 格式 ， 将 私 钥 和 证 书 同时 颁发 ; 颁发 给 防火 墙 时 ， 因 为 防火 墙 只 支持 
DER/PEM 格式 ， 所 以 要 选择 DER/PEM， 同 时 还 必须 将 公私 密 钥 对 以 单独 文件 的 形式 
颁发 给 防火 墙 。 


B.2.3 “证书 验证 


证 书 颁发 给 使 用 者 后 ， 使 用 者 就 会 拿 着 证 书 到 处 证 明 自 己 的 身份 。 如 果 我 们 收 到 了 
一 个 这 样 的 证 书 ， 怎 么 才能 判断 这 个 证 书 就 是 合法 的 ， 不 是 伪造 的 呢 ? 还 记得 前 面 我 们 
介绍 过 的 HASH 密码 学 吗 , 我 们 可 以 利用 HASH 密码 学 原理 , 通过 证 书 中 的 签名 来 验证 
证 书 的 真 伪 。 

例如 ，A 收 到 了 B 发 过 来 的 证 书 ， 想 要 验证 这 个 证 书 的 真 伪 ， 此 时 A 首先 需要 获取 
到 为 B 颁发 证 书 的 那个 CA 的 公 钥 ， 用 这 个 公 钥 解密 证 书 中 的 签名 ， 得 到 摘要 信息 。 然 
后 A 使 用 证 书 中 签名 算法 里 面 的 HASH 密码 学 算法 对 证 书 进行 HASH 计算 ， 也 得 到 一 
个 摘要 信息 。A 将 两 个 摘要 信息 进行 对 比 ， 如 果 两 者 一 致 ， 就 说 明证 书 确实 是 由 这 个 CA 
颁发 的 (能 用 CA 的 公 钥 解密 说 明 该 CA 确实 持 有 私 钥 )， 并 且 没 有 被 算 改 过 ， 该 证 书 没 
有 问题 。 当 然 ， 也 会 同时 检查 证 书 是 否 在 有 效 期 内 。 

到 这 里 大 家 可 能 会 有 疑问 ,为 A 颁发 证 书 的 那个 CA 的 公 钥 又 该 如 何 获取 呢 ? 答案 
还 是 证 书 ， 从 CA 的 证 书 获取 。 也 就 是 说 ，CA 除了 给 别人 颁发 证 书 外 ， 它 本 身 也 有 自 
己 的 证 书 ， 证 书 中 包含 CA 的 公 钥 。A 使 用 CA 的 证 书 验证 B 的 证 书 的 过 程 如 图 B-8 
所 示 。 
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为 B 颁发 证 书 的 
CA 的 证 书 : 


图 B-8 证 书 验证 过 程 示意 图 


再 进一步 , 如 何 判断 为 B 颁发 证 书 的 这 个 CA 的 证 书 真 伪 以 及 是 否 被 算 改 过 ? 答 
案 是 用 CA 自己 的 公 钥 来 验证 自己 的 签名 ， 即 用 CA 证 书 中 的 公 钥 解密 该 证 书 中 的 签 
名 , 得 到 摘要 信息 。 然后 使 用 CA 证 书 中 签名 算法 里 面 的 HASH 密码 学 算法 对 该 证 书 
进行 HASH 计算 ， 得 到 另 一 个 摘要 信息 ， 两 者 一 致 ， 说 明 该 CA 证 书 是 真实 的 ， 没 有 
被 自 改 过 。 此 时 有 一 个 新 的 问题 ， 假 设 黑客 伪造 了 CA 证 书 ， 证 书 中 的 签名 是 黑客 用 
自己 的 私 钥 来 签名 ， 而 公 钥 就 是 黑客 自己 的 公 钥 ， 那 么 对 该 CA 证 书 的 验证 也 能 通 
过 。 所 以 上 述 验证 过 程 的 前 提 是 CA 证 书 必须 是 在 可 信任 的 机 构 获 取 的 ， 保 证 没有 被 
伪造 。 

如 果 通 信 双 方 要 互相 验证 对 方 的 证 书 ， 那 就 要 分 别 获取 到 为 对 方 颁发 证 书 的 CA 的 
证 书 。 如 图 B-9 所 示 ，A 如 果 要 验证 B 的 证 书 ， 则 A 必须 先 获取 为 B 颁发 证 书 的 CA 的 
证 书 ， 用 CA 的 证 书 验证 B 的 证 书 ; B 如 果 要 验证 A 的 证 书 ， 则 B 必须 先 获 取 为 A 颁 
发 证 书 的 CA 的 证 书 , 用 CA 的 证 书 验证 A 的 证 书 。 如 果 A 和 B 是 由 同一 个 CA 颁发 的 
证 书 ， 那 么 两 者 获取 到 的 CA 的 证 书 是 相同 的 ， 如 果 A 和 B 是 由 两 个 不 同 的 CA 颁发 的 
证 书 ， 那 么 两 者 获取 到 的 CA 的 证 书 是 不 同 的 。 

对 于 证 书 的 使 用 方法 ， 下 面 我 们 再 进行 一 下 总 结 。 

(1) 通信 双方 各 自持 有 自己 的 证 书 ， 当 一 方 需要 向 另 一 方 证 明 身 份 时 ， 就 把 自己 的 
证 书 发 送 过 去 。 双 方 不 用 事先 保存 对 方 的 证 书 ， 只 在 验证 时 接收 对 方 发 送 过 来 的 证 书 即 可 。 
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和 A 验证 日 的 证 书 : B 验证 人 的 证 书 : 

为 B 颁发 证书 的 CA 为 A 颁发 证 书 的 CA 
ra 2 
:CA 的 证 书 B 的 证 书 A 的 证 书 





图 B-9 通信 双方 获取 证 书 示意 图 


(2) 一 方 验证 男 一 方 证 书 的 真 伪 时 ， 必 须 事先 获取 到 为 男 一 方 颁发 证 书 的 CA 的 
证 书 ， 用 这 个 CA 证 书 来 验证 对 方 的 证 书 。 

因为 不 同 的 CA 会 颁发 不 同 证 书 ， 所 以 在 证 书 的 世界 中 ， 每 个 人 可 能 会 持 有 多 个 证 
书 。 同 理 ， 每 个 人 也 会 获取 到 多 个 不 同 的 CA 证 书 。 在 这 种 情况 下 ， 一 方 收 到 另 一 方 发 
过 来 的 证 书 时 ， 会 根据 证 书 中 颁发 者 的 名 称 ， 在 自己 的 系统 中 查找 对 应 的 CA 证 书 ， 找 
到 后 就 用 这 个 CA 证 书 来 验证 。 如 果 没 有 找到 ， 那 就 说 明 事 先 没 有 获取 到 CA 证 书 ， 也 
就 无 法 判断 对 方 发 送 过 来 的 证 书 的 真 伪 。 

下 面 我 们 就 来 看 一 下 证 书 在 IPSec VPN 和 SSL VPN 中 的 具体 应 用 。 


B.3 应 用 


B.3.1 证书 在 IPSec 中 的 应 用 


在 IPSec 中 ， 我 们 需要 为 两 台 网 关 设 备 〈 防 火 墙 ) 生成 证 书 ， 第 一 种 方法 ， 我 们 可 
以 先 在 网 关 设 备 上 生成 公私 密 钥 对 ， 然 后 将 公 钥 以 及 网 关 设 备 的 通用 名 称 等 信息 提供 给 
CA, 由 CA 根据 这 些 信息 来 生成 证 书 。 网 关 设 备 申请 证 书 时 , 支持 在 线 和 离线 两 种 方式 ， 
这 些 内 容 我 们 在 “6.9 数字 证 书 认 证 ”一 节 中 都 已 经 介绍 过 ， 这 里 就 不 再 歼 述 。 

第 二 种 方法 ， 我 们 还 可 以 直接 在 CA 上 帮助 网 关 设 备 生 成 公私 密 钥 对 和 证 书 ， 然 后 网 
关 设 备 将 CA 生成 的 公私 密 钥 对 和 证 书 同时 导入 ， 这 样 网 关 设 备 也 能 用 导入 的 证 书 来 进行 身 
份 认证 。 具 体 的 操作 方法 可 以 参照 下 面 介绍 的 为 SSL VPN 客户 端 和 服务 器 生成 证 书 的 操作 。 

如 果 两 台 网 关 设 备 是 从 同一 个 CA 申请 的 证 书 ， 那 么 两 台 设备 上 安装 的 CA 证 书 也 
是 相同 的 。 如 果 两 台 网 关 设 备 从 不 同 的 CA 申请 证 书 ， 那 就 需要 在 两 台 网 关 设 备 上 分 别 
安装 为 对 方 颁发 证 书 的 那个 CA 的 证 书 。 


B.3.2 证书 在 SSL VPN 中 的 应 用 
在 “第 8 章 SSLVPN” 中 , 我们 分 析 了 客户 端 和 服务 器 ( 即 防火 墙 设备 ) 建立 SSL 
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连接 的 过 程 ， 其 中 包括 了 两 个 阶段 : 首先 是 客户 端 对 服务 器 进行 身份 认证 ， 然 后 是 服务 
器 对 客户 端 进行 身份 认证 。 由 于 客户 端 一 般 都 是 PC， 不 能 直接 生成 公私 密 钥 对 ， 所 以 下 
面 我 们 使 用 XCA 来 帮助 客户 端 和 服务 器 生成 公私 密 钥 对 和 证 书 ， 然 后 在 客户 端 和 服务 
器 上 分 别 导 入 各 自 的 公私 密 钥 对 和 证 书 。 
图 B-10 展示 了 在 SSL VPN 连接 建立 过 程 中 ， 不 同类 型 的 证 书 的 安装 和 使 用 方法 。 

由 于 客户 端 和 服务 器 都 是 由 XCA 颁发 的 证 书 ， 所 以 两 者 获取 到 的 CA 的 证 书 是 相同 的 。 
另外 ， 由 于 我 们 使 用 了 XCA 生成 的 证 书 替换 了 服务 器 内 置 的 证 书 ， 所 以 还 需要 将 XCA 
为 服务 器 生成 的 公私 密 钥 对 导入 到 服务 器 中 。 


XCA 










园 ， 困 中 :加 :vv 
CA 的 证 书 客户 端的 证 书 服务 器 的 证 书 CA 的 证 书 服务 器 的 公私 密 钥 对 
多 服务 器 
客户 端 [b> < 2 《防火 墙 ) 
| la 10.1.1.1.1 
! pl 服务 器 的 证 书 | 
' E OOO 
!_ 验证 ie 1 第 一 阶段 








服务 器 的 证 书 ; 
| a 

客户 端的 证 书 

第 二 阶段 











a 
B-10 ”使 用 XCA 颁发 证 书 示 意图 

第 一 阶段 : 客户 端 验证 服务 器 的 身份 。 

我 们 先 来 看 一 下 第 一 个 阶段 。 在 这 个 阶段 中 ， 服 务 器 将 自己 的 证 书 发 送 给 客户 端 ， 
客户 端 需要 用 为 服务 器 颁发 证 书 的 CA 的 证 书 来 验证 这 个 证 书 。 但 是 ， 客 户 端 在 自 
己 的 系统 上 没有 找到 CA 的 证 书 , 无 法 验证 服务 器 证 书 的 真 伪 ， 所 以 浏览 器 会 提示 警 
告 框 。 

我 们 可 以 先 忽 略 这 个 警告 ， 等 出 现 登 录 页 面 后 ， 在 页 面 左 侧 下 载 CA 证 书 并 安装 到 
客户 端的 系统 中 ， 就 可 以 验证 服务 器 证 书 的 真 伪 ， 后 续 客 户 端 登录 时 就 不 会 再 出 现 警告 
框 了 。 

可 见 ， 服 务 器 向 CA 申请 好 证 书后 ， 将 自己 的 证 书 连同 CA 的 证 书 一 块 内 置 到 系统 
中 。 当 服务 器 需要 被 客户 端 验证 时 ， 就 会 将 自己 的 证 书 发 给 客户 端 ， 同 时 ， 在 登录 页 面 
上 提供 CA 证 书 ， 供 客户 端 下 载 使 用 。 

当然 ， 我 们 也 可 以 替换 掉 服 务 器 内 置 的 证 书 ， 使 用 我 们 自己 认可 的 CA， 如 XCA 为 
服务 器 颁发 新 的 证 书 。 下 面 介绍 如 何 使 用 XCA 软件 来 生成 CA 证 书 和 服务 器 的 证 书 。 

操作 步骤 如 下 。 

(1) 从 http:/sourceforge.net/projects/xca/ 下 载 并 安装 XCA 软件 ， 具 体 过 程 略 。 
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(2) 在 “File” 菜 单 中 创建 一 个 新 的 数据 库 ， 输 入 数据 库 的 名 字 ， 然 后 设置 该 数据 
库 的 密码 ， 使 用 这 个 数据 库 来 保存 密 钥 对 和 证 书 的 信息 。 
(3) 在 “Private Keys” 页 签 ， 生 成 CA 的 公私 密 钥 对 ， 如 图 B-11 所 示 。 





图 B-11 生成 CA 的 公私 密 钥 对 
参考 上 述 步 又 ， 生成 服务 器 的 公私 密 钥 对 ， 密 钥 对 的 Name 为 10.1.1.1， 即 用 服务 器 


的 卫 地 址 标识 ， 其 他 参数 不 变 。 
(4) 在 “Certificate” 页 签 ， 生 成 CA 的 证 书 ， 如 图 B-12 所 示 。 





图 .B-12 生成 CA 的 证 书 
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然后 为 该 CA 证 书生 成 CRL， 即 设置 该 证 书 的 有 效 期 ， 如 图 B-13 所 示 。 






Ea Certif ate and Key managemenast 


图 B-13 为 CA 证 书生 成 CRL 
(5) 参考 上 述 步骤 ， 生 成 服务 器 的 证 书 ， 与 CA 证 书生 成 过 程 中 有 差异 的 参数 取 值 
如 表 B-2 所 示 。 


服务 器 证 书 的 CN 字段 取 值 必须 与 服务 器 人 P 地 址 一 致 的 要 求 , 否则 在 客户 端 上 无 法 
验证 通过 ， 所 以 我 们 这 里 将 证 书 的 名 称 设置 为 10.1.1.1。 


表 B-2 服务 器 证 书 的 参数 取 值 





igning 
Template for the new certificate 


Internal name 
commonName 


10.1.1.1 (RSA) 





(6) 以 PEM 格式 导出 CA 证 书 CA.crt 和 服务 器 证 书 10.1.1.1.cert， 保 存 文件 备用 ， 
如 图 B-14 所 示 。 

(7) 导出 服务 器 的 公私 密 钥 对 10.1.1.1.pem， 保 存 文件 备用 ， 如 图 B-15 所 示 。 为 了 
保证 密 钥 对 的 安全 ， 导 出 时 要 设置 密码 。 

(8) 将 CA 证 书 CA.ert 发 送 至 客户 端 , 在 客户 端 上 双击 CA.ert， 按 照 提 示 将 该 证 书 
存储 到 “受信 任 的 根 证 书 颁 发 机 构 ” 中 。 

(9) 将 服务 器 的 公私 密 钥 对 文件 10.1.1.1.pem 上 传 至 服务 器 ， 然 后 执行 如 下 命令 导 
入 公私 密 钥 对 ，password 处 输入 导出 时 设置 的 密码 。 

在 SSL 握手 过 程 的 第 3 次 通信 中 ， 客 户 端 会 使 用 服务 器 的 公 钥 将 随机 数 pre-master- 
key 加 密 后 发 给 服务 器 ， 要 求 服务 器 上 必须 存在 私 钥 才 能 解密 。 
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B-15 导出 服务 器 公私 密 钼 对 





图 B-16 服务 器 安装 本 地 证 书 
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《11) 配置 服务 器 使 用 10.1.1.1.crt 来 向 客户 端 证 明 自己 的 身份 ， 如 图 B-17 所 示 。 


本 地 证 所 F 和 pi 一 一 重 
客户 端 CA 证 书 defauit EE 
证 书 认证 方式 傅 证 书 匿名 局 | 


图 B-17 服务 器 指定 本 地 证 书 


完成 上 述 操作 后 ， 当 客户 端 访问 服务 器 的 登录 页 面 时 ， 就 可 以 用 XCA 的 CA 证 书 
来 验证 服务 器 发 送 过 来 的 证 书 。 由 于 服务 器 的 证 书 也 是 由 XCA 颁发 的 ， 所 以 验证 通过 ， 
浏览 器 不 会 提示 警告 框 。 

第 二 阶段 ， 服 务 器 验证 客户 端的 身份 。 

下 面 来 看 一 下 第 二 个 阶段 ， 即 服务 器 使 用 证 书 方式 对 客户 端 进行 身份 认证 的 过 程 。 
在 这 个 阶段 中 , 客户 端 要 向 服务 器 发 送 自己 的 证 书 , 服务 器 使 用 为 客户 端 颁发 证 书 的 CA 
的 证 书 来 验证 客户 端的 证 书 。 下 面 我 们 就 以 服务 器 使 用 证 书 匿名 认证 方式 认证 客户 端 为 
例 ， 介 绍 使 用 XCA 软件 为 客户 端 生成 证 书 的 过 程 。 

操作 步骤 如 下 省 略 了 与 第 一 阶段 相似 的 部 分 截图 )。 

(1) 在 “Private Keys” 页 签 ， 生 成 客户 端的 公私 密 钥 对 ， 密 钥 对 的 Name 为 Client。 

(2) 在 “Certificate” 页 签 ， 按 照 表 B-3 中 的 参数 取 值 ， 生 成 客户 端的 证 书 。 


表 了 B-3 客户 oo 


Se Use this Certificate for signing: CA 
[default] HTTPS_client 
Client 

Subject commonName Client 


Client RSA) 


(3) 以 PKCS #12 格式 导出 客户 端的 证 书 Client.p12( 因 为 PKCS #12 格式 的 证 书 中 
包含 了 私 钥 ， 所 以 导出 时 需要 设置 密码 )， 保 存 文件 备用 。 

(4) 将 客户 端 证 书 发 送 至 客户 端 ， 在 客户 端 上 双击 Clientp12， 按 照 提 示 安 装 即 可 ， 
安装 过 程 中 需要 输入 导出 该 证 书 时 设置 的 密码 。 

安装 成 功 后 ， 在 Windows 操作 系统 的 MMSC 控制 台中 ， 可 以 看 到 客户 端的 证 书 ， 以 
及 在 第 一 阶段 的 步骤 〈8) 中 安装 的 CA 证 书 。 客 户 端 证 书 中 包含 私 铀 ， 所 以 图 标 比 CA 
证 书 的 图 标 多 了 一 个 “钥匙 ”的 标志 ， 如 图 B-18 所 示 。 

(5) 在 服务 器 上 安装 CA 的 证 书 CA.crt， 如 图 B-19 所 示 , 该 CA 证 书 在 第 一 阶段 的 
步骤 (6) 中 已 经 导出 。 

(6) 配置 服务 器 使 用 CA.ert 来 验证 客户 端的 身份 ， 如 图 B-20 所 示 。 

完成 上 述 操作 后 ， 客 户 端 使 用 浏览 器 访问 服务 器 的 登录 页 面 时 ， 就 可 以 在 浏览 器 中 
选择 自己 的 证 书 来 进行 身份 认证 ， 成 功 登录 到 服务 器 上 。 

至 此 ， 本 节 的 内 容 就 全 都 介绍 完毕 ， 希 望 通过 强 叔 的 介绍 ， 能 够 帮助 大 家 明晰 证 书 
概念 原理 ， 掌 握 证 书 使 用 方法 ， 更 好 地 运用 证 书 来 进行 身份 认证 。 
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证 书 文件 


本 地 证 书 
寄 户 端 CA 证 书 


证 书 认证 方式 后 





图 B-20 服务 器 指定 CA 证 书 


强 叔 提 问 


两 个 通信 实体 A 和 B， 都 生成 了 各 自 的 公 钥 和 私 钥 ， 请 问 A 和 B 如 何 通 过 公 钥 密 
码 学 来 验证 对 方 的 身份 ? 
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C.1 第 1 章 


1. 防火 墙 和 交换 机 、 路 由 器 的 主要 区 别 是 什么 ? 

答案 : 路 由 器 用 来 连接 不 同 的 网 络 ， 保 证 互联 互通 ， 确 保 将 报 文 转发 到 目的 地 ; 交 
换 机 则 通过 二 层 /三 层 交 换 快速 转发 报 文 ; 而 防火 墙 主 要 部 署 在 网 络 边 界 ， 对 进出 网 络 的 
访问 行为 进行 控制 ， 安 全 防护 是 其 核心 特性 。 路 由 器 与 交换 机 的 本 质 是 转发 ， 防 火 墙 的 
本 质 是 控制 。 

2. 我 们 常 说 的 第 一 代 、 第 二 代 和 第 三 代 防 火 墙 都 指 的 是 哪些 防火 墙 ? 

答案 : 第 一 代 防 火 墙 一 一 包 过 滤 防 火 墙 ， 第 二 代 防 火 墙 一 一 代理 防火 墙 ， 第 三 代 防 
火 墙 一 一 状态 检测 防火 墙 。 

3. 被 业界 权威 的 第 三 方 安全 测评 机 构 NSS 实验 室 评 为 最 快 防火 墙 的 是 华为 哪 一 款 
防火 墙 产 品 ? 

答案 : USG9500 系列 。 

4. 请 分 别 说 出 防火 墙 上 默认 的 Local、Trust、 DMZ 和 Untrust 安全 区 域 的 安全 级 别 。 

答案 : Local 区 域 的 安全 级 别 是 100，Trust 区 域 的 安全 级 别 是 85，DMZ 区 域 的 安全 
级 别 是 50，Untrust 区 域 的 安全 级 别 是 5。 

5. 给 出 如 下 一 条 会 话 ， 大 家 能 指出 里 面 的 五 元 组 信息 吗 ? 

telnet VPN:public --> public 192.168.0.2:51870-->172.16.0.2:23 

答案 : 源 地 址 是 192.168.0.2， 源 端口 是 S1870， 目 的 地 址 是 172.16.0.2， 目 的 端口 是 
23， 协 议 是 Telnet。 

6. 防火 墙 关 闭 状态 检测 功能 后 ， 对 于 收 到 的 SYN+ACK 类 型 的 TCP 报 文 ， 如 果 防 
火 墙 上 配置 的 规则 允许 报 文 通过 ， 那 么 防火 墙 接 下 来 如 何 处 理 该 报 文 ? 

答案 : 创建 会 话 并 转发 报 文 。 


C.2 第 2 章 


1. 管理 员 在 Trust 安全 区 域 和 Untrust 安全 区 域 之 间 依 次 配置 了 如 下 两 条 安全 策略 ， 
请 分 析 这 样 配置 有 什么 问题 ? 

。 安全 策略 1: 拒绝 目的 地 址 是 172.16.0.0/24 网 段 的 报 文通 过 。 

。 安全 策略 2: 允许 目的 地 址 是 172.16.0.100 的 报 文通 过 。 

答案 ;安全 策略 1 中 的 匹配 条 件 的 范围 大 于 安全 策略 2 中 的 匹配 条 件 的 范围 ， 导 致 
目的 地 址 是 172.16.0.100 的 报 文 永远 不 会 命中 安全 策略 2。 

2. 下 一 代 防 火 墙 的 一 体 化 安全 策略 中 都 有 哪些 维度 的 匹配 条 件 ? 

答案 : 传统 五 元 组 、 上 应用、 内容、 用户、 威胁、 时间、 位 置 。 

3. 在 FTP 客户 端 访问 FTP 服务 器 的 组 网 中 ， 如 果 FTP 服务 器 使 用 了 被 动 模式 
(PASYV 模式 )， 是 否 还 需要 在 防火 墙 上 开启 ASPF 功能 ? 
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答案 : 除非 在 防火 墙 上 允许 FTP 客户 端 访问 FTP 服务 器 所 有 端口 的 报 文通 过 , 如 果 
只 允许 21 端口 的 报 文通 过 则 还 是 需要 配置 ASPF。 因 为 FTP 客户 端 向 FTP 服务 器 发 起 
数据 连接 时 ， 目 的 端口 也 是 随机 协商 的 ， 此 时 仍然 需要 通过 ASPF 功能 来 生成 记录 数据 
连接 的 Server-map。 
4. 防火 墙 上 运行 OSPF 路 由 协议 ,假设 OSPF 的 网 络 类 型 是 广播 类 型 (Broadcast)， 
请 填写 下 列 配 置 脚本 中 的 空白 处 , 精确 开启 运行 OSPF 协议 的 接口 所 在 的 Untrust 安全 区 
域 与 Local 安全 区 域 之 间 的 安全 策略 。 
# 
policy interzone local untrust 
ol | 
action permit 
policy service service-set 
policy interzone local untrust 
policy 1 
action permit 
policy service service-set 
# 


答案 : 


action permit : > 
policy service service-set ospf 

大 

policy interzone local untrust 

policy 1 
action permit 


C.3 第 3 章 


1. 单 包 攻击 分 为 哪 三 大 类 ? 

答案 ， 上 畸形 报 文 攻 击 、 扫 描 类 攻击 、 特 殊 控 制 报 文 攻 击 。 

2. SYN Flood 攻击 有 几 种 防御 方式 ， 使 用 场景 有 什么 差异 ? 

答案 : 有 两 种 防御 方式 ，TCP 源 探测 、TCP 代理 。TCP 代理 只 能 用 于 来 回路 径 一 臻 
的 场景 ，TCP 源 探 测 可 以 用 于 来 回路 径 一 致 和 来 回路 径 不 一 致 的 场景 。 

3. 针对 UDP Flood 攻击 的 防御 方式 都 有 哪些 ? 

答案 : 指纹 学 习 和 限 流 。 

4. HTTP Flood 的 重 定向 防御 会 对 同一 个 源 发 出 的 每 一 个 HTTP 报 文 都 进行 重 定 
向 吗 ? 

答案 : 不 会 ， 认 证 通过 的 源 会 加 入 白 名 单 ， 后 续 这 个 源 再 发 送 的 报 文 直接 通过 ， 不 
再 进行 重 定向 。 
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C.4 第 4 章 


1. 源 NAT 技术 中 ，Easy-IP 方式 指 的 是 ? 

答案 : 利用 出 接口 的 公 网 人 P 地 址 作为 NAT 转换 后 的 地 址 。 

2. 三 元 组 NAT 通过 什么 机 制 来 保证 外 网 主机 可 以 主动 访问 内 网 主机 ? 

答案 : 通过 生成 Server-map 表 保 证 ， 具 体 来 说 ， 是 通过 目的 Serverv-map 表 项 
(FullCone Dst) 来 保证 。 

3. 报 文 匹 配 NAT Server 生成 的 Server-map 表 项 后 , 是否 还 需要 进行 安全 策略 的 检查 ? 

答案 : 需要 。 

4. 当 私 网 用 户 和 私 网 服务 器 处 在 同一 LAN 内 ， 两 者 通过 交换 机 连接 到 防火 墙 的 同 
一 个 接口 上 ， 如 何 保证 私 网 用 户 可 以 通过 公 网 地 址 来 访问 私 网 服务 器 ， 并 且 私 网 用 户 和 
私 网 服务 器 之 间 交 互 的 报 文 都 经 过 防火 墙 的 处 理 ? 

答案 : 配置 NAT Server+ 域 内 NAT。 

5. 在 NAT 环境 下 User-defined 类 型 的 ASPF 与 三 元 组 NAT 的 主要 区 别 有 哪 些 ? 

答案 : 报 文 命中 User-defined 类 型 的 ASPF 生成 的 Server-map 表 项 后 不 受 安全 策略 
控制 ， 报 文 命中 三 元 组 NAT 生成 的 Server-map 表 项 后 是 否 受 安全 策略 控制 由 firewall 
endpoint-independent filter enable 命令 决定 ; USG2000/5000/6000/9500 系列 防火 墙 都 支 
持 User-defined 类 型 的 ASPF， 只 有 USG9500 系列 防火 墙 支持 三 元 组 NAT。 

6. 配置 源 NAT 时 ， 要 求 同 时 配置 目的 地 址 为 NAT 地 址 池 地 址 的 黑洞 路 由 , 请 问 这 
里 配置 的 黑洞 路 由 有 哪 两 个 主要 作用 ? 

答案 : 

第 一 个 作用 ， 避 免 路 由 环 路 ， 节 省 防火 墙 的 系统 资源 。 

第 二 个 作用 ， 如 果 防 火 墙 与 上 行路 由 器 之 间 运 行 OSPF 路 由 协议 ， 则 可 以 在 防火 墙 
的 OSPF 中 引入 静态 路 由 的 方式 ， 把 黑洞 路 由 引入 到 OSPF 中 ， 然 后 通过 OSPF 发 布 给 
路 由 器 。 
” ”7. 华为 防火 墙 在 进行 NAT 地 址 转换 时 , 通过 什么 方式 来 实现 一 个 公 网 人 P 地 址 突破 
65535 端口 的 限制 ? 

答案 : 通过 HASH 算法 选择 地 址 池 中 的 地 址 ， 根 据 会 话 表 机 制 ， 只 要 内 网 不 同 用 户 
访问 “目的 地 址 + 目的 端口 + 协议 ”三 元 组 中 的 任 一 参数 不 同时 ， 即 使 将 地 址 池 中 同一 公 
网 地 址 的 同一 端口 同时 分 配给 内 网 多 个 用 户 时 ， 也 不 会 产生 冲突 ， 端 口 重 复 利 用 即 突破 
了 65535 的 限制 。 


C.5 第 5 章 


1. GRE 报 文 外 层 IP 头 中 的 源 地 址 和 目的 地 址 是 Tunnel 口 的 他 地址 吗 ? 
答案 : 不 是 Tunnel 接口 的 地 址 ， 是 Tunnel 接口 上 配置 的 源 地 址 (source) 和 目的 地 
址 (destination ) 。 
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2. 在 L2TP VPN 中 ，NAS-Initiated VPN 和 Client-Initiated VPN 这 两 个 场景 的 主要 区 
别 是 什么 ? 

答案 : NAS-Initiated VPN 是 基于 LAC 拨号 的 L2TP VPN，Client-Initiated VPN 是 客 
户 端 直接 拨号 的 L2TP VPN。 

3. 在 L2TP Client-Initiated VPN 中 ， 一 般 建议 把 地 址 池 地 址 和 总 部 网 络 地 址 规划 为 
不 同 的 网 段 ， 如 果 把 地 址 池 地 址 和 总 部 网 络 地 址 配置 为 同一 网 段 ， 需 要 做 什么 处 理 ? 

答案 : 地 址 池 地 址 和 总 部 网 络 的 地 址 配置 为 同一 网 段 后 , 必须 在 LNS 连接 总 部 网 络 
的 接口 上 开启 ARP 代理 功能 ， 并 且 开 启 L2TP 虚拟 转发 功能 ， 保 证 LNS 可 以 对 总 部 网 
络 服务 器 发 出 的 ARP 请 求 进行 应 答 。 

4. 在 L2TP Client-Initiated VPN 中 ，LNS 如 何 保证 总 部 中 内 网 服务 器 的 回应 报 文 能 
够 进入 L2TP 隧道 返回 至 L2TP Client? 

答案 : LNS 为 获得 私 网 卫 地 址 的 L2TP Client 自动 下 发 了 一 条 主机 路 由 ， 这 条 自动 
生成 的 主机 路 由 属于 UNR 路 由 ， 指 引 去 往 L2TP Client 的 报 文 进入 L2TP 隧道 。 

5. 在 L2TP NAS-Initiated VPN 中 ，LNS 对 接 入 用 户 的 认证 方式 有 哪 几 种 ? 

答案 : 

LAC 代理 认证 : 相信 LAC 是 可 靠 的 ， 直 接 对 LAC 发 来 的 用 户 信息 进行 验证 。 

强制 CHAP 认证 : 不 相信 LAC， 要 求 重 新 对 用 户 进行 认证 。 

LCP 重 协商 : 不 相信 LAC， 重 新 发 起 LCP 协商 ， 协 商 MRU 参数 和 认证 方式 。 


C.6 第 6 章 


1. IPSec 支持 哪 两 种 封装 模式 ? 

答案 : 隧道 模式 、 传 输 模式 。 

2. IPSec 中 的 两 个 安全 协议 AH 和 ESP， 哪 一 个 不 支持 加 密 功 能 ? 

答案 : AH， 只 支持 验证 功能 ， 不 支持 加 密 功 能 。 

3. IKEv1 版 本 中 支持 哪 两 种 身份 认证 方式 ? 

答案 : 预 共 享 密 钥 方式 〈pre-share)、 数 字 证 书 方 式 。 

4. 建立 IPSec SA 时 ，IKEv1 版 本 和 IKEv2 版 本 在 交互 信息 个 数 上 有 什么 区 别 ? 

答案 : 

IKEv1: 主 模式 + 快速 模式 需要 9 条 信息 建立 IPSec SA; 野蛮 模式 + 快速 模式 需要 6 
条 信息 建立 IPSec SA。 

IKEv2: 最 少 4 条 消息 即 可 建立 IPSec SA。 

5. 两 台 防 火 墙 建立 IPSec 隧道 的 网 络 中 存在 NAT 网 关 设 备 ， 请 问 对 于 AH 和 ESP 
安全 协议 来 说 ， 如 何 进行 处 理 ? 

答案 : 

对 于 AH 安全 协议 来 说 ，AH 报 文 无 法 通过 NAT 网 关 ， 所 以 AH 不 支持 穿越 NAT 
网 关 设 备 。 

对 于 ESP 安全 协议 来 说 , 报 文 会 被 封装 在 一 个 UDP 头 中 , 源 和 目的 端口 号 均 是 4500， 
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有 了 这 个 UDP 头 就 可 以 正常 进行 地 址 和 端口 的 转换 。 

6. 防火 墙 支持 哪 两 种 IKE 对 等 体检 测 机 制 ? 

答案 : Keepalive 机 制 、DPD 机 制 。 

7. 在 GRE over IPSec 的 场景 中 ，IPSec 中 定义 ACL 时 ， 应 该 指定 原始 报 文 的 源 和 
目的 地 址 ， 还 是 经 过 GRE 封装 后 的 源 和 目的 地 址 ? 

答案 : 经 过 GRE 封装 后 的 源 和 目的 地 址 。 


C.7 第 7 章 


1. DSVPN 中 每 个 节点 的 Tunnel 接口 可 以 不 在 一 个 网 段 么 ? 为什么? 

答案 : 不 可 以 。 以 Normal 方式 为 例 ，Spoke A 会 以 到 Spoke B 私 网 路 由 的 下 一 跳 
(Spoke_B 的 Tunnel 地 址 ) 来 查找 Spoke_A 的 隧道 接口 ,假如 Spoke_A、Spoke_B 的 Tunnel 
口 不 在 同一 个 网 段 ， 则 Spoke_A 就 会 因 找 不 到 Tunnel 接口 而 导致 报 文 转发 出 错 。 

2. DSVPN 的 加 密 靠 IPSec，IPSec 是 如 何 能 够 加 密 动态 隧道 的 ? 

答案 : IPSec 会 根据 DSVPN 中 获取 到 的 对 端 公 网 地 址 , 作为 IPSec 隧道 的 对 端 地 址 ， 
从 而 保护 DSVPN 隧道 两 端 传 送 的 数据 流 。 


C.8 第 8 章 


1. SSL 握手 协议 中 ， 为 了 解决 公 钥 加 密 法 的 算法 复杂 ， 加 解密 计算 量 大 的 问题 ， 
采用 了 何 种 方法 提升 效率 ? 

答案 : 引入 一 个 “会 话 密 钥 ”。 客 户 端 与 服务 器 采用 公 钥 加 密 法 协商 出 此 “会 话 密 
钥 ”， 而 后 续 的 数据 报 文 都 使 用 此 “会 话 密 钥 ”进行 加 密 和 人 解密 〈 即 对 称 加 密 法 )。 

2. 文件 共享 功能 支持 新 建文 件 吗 ? 

答案 : 不 支持 ， 如 果 需 要 新 建文 件 ， 请 本 地 编辑 后 再 上 传 〈 文 中 表格 里 的 操作 类 型 ， 
没有 新 建文 件 )。 

3. 出 差 员 工 登 录 SSL VPN 后 ， 发 现 资源 列表 空空 如 也 ， 此 时 忽然 想起 管理 员 给 了 
他 一 个 锦 襄 妙计 。 各 位 ， 你 能 猜 到 锦 宫 的 内 容 吗 ? 

答案 : 涉及 Web 代理 中 的 一 个 配置 参数 “门户 链接 ”: 选择 Web 代理 资源 是 否 显示 在 登 
录 后 的 虚拟 网 关 首 页 上 。 如 果 不 选中 ， 相 当 于 为 老 顾客 准备 了 菜单 之 外 的 私房 菜 。 这 时 老 用 
户 可 以 在 登录 后 的 右上 角 地 址 栏 中 手动 输入 URL 地 址 ， 访 问 一 些 比较 机 密 的 URL 资源 。 


C.9 第 9 章 


1. 防火 墙 双 机 热 备 包括 几 种 方式 ? 
答案 : 两 种 ， 主 备 备份 方式 和 负载 分 担 方式 。 
2. 防火 墙 双 机 热 备 主要 有 儿 种 协议 ? 
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答案 : 三 种 ，VRRP、VGMP 和 HRP。 

3. 第 二 代 双 机 热 备 中 防火 墙 有 几 个 VGMP 组 ? 正常 情况 下 ，VGMP 组 的 状态 是 什 
么 ? 优先 级 是 多 少 ? 

答案 : 第 二 代 双 机 热 备 中 防火 墙 有 两 个 VGMP 组 : Active 组 和 Standby 组 。 正 常情 
况 下 (以 USG2000/5000/6000 为 例 ), Active 组 的 状态 为 Active, 优先 级 为 65001; Standby 
组 的 状态 为 Standby， 优 先 级 为 65000。 

4. 双 机 热 备 中 共有 几 种 VGMP 和 HRP 报 文 ? 

答案 : 五 种 ， 包 括 VGMP 报 文 (VGMP Hello 报 文 ) 、HRP 心跳 报 文 (HRP Hello 
报 文 ) 、HRP 数据 报 文 、 心 跳 链 路 报 文 、HRP 一 致 性 检查 报 文 。 

5. 双 机 热 备 的 VGMP 组 有 几 种 监控 接口 状态 的 手段 ? 

答案 : 五 种 , 包括 通过 VRRP 备份 组 监控 、 直接 监控 、 通 过 VLAN 监控 、 通 过 IP-Link 
监控 、 通 过 BFD 监控 。 

6. 双 机 热 备 有 几 种 HRP 备份 方式 ? 

答案 : 三 种 ， 包 括 自 动 备 份 、 手 工 批量 备份 和 快速 会 话 备份 。 

7. 第 二 代 双 机 热 备 的 HRP 和 VGMP 报 文 是 否 能 够 跨越 网 段 传输 ?该 如 何 部 署 ? 

答案 : 在 配置 心跳 口 时 指定 remote 参数 后 ，HRP 和 VGMP 报 文 将 被 封装 成 UDP ， 
报 文 。UDP 报 文 是 一 种 单 播报 文 ， 只 要 路 由 可 达 和 安全 策略 允许 通过 就 能 够 跨越 网 段 
传输 。 

8. 双 机 热 备 与 源 NAT 或 NAT Server 结合 使 用 时 需要 注意 什么 ? 

答案 : 当 NAT 地 址 池 或 NAT Server 转换 后 的 地 址 与 VRRP 备份 组 地 址 在 同一 网 段 
时 ， 需 要 配置 NAT 地 址 池 或 NAT Server 与 VRRP 绑 定 。 


C.10 第 10 章 


1. ISP 路 由 与 静态 路 由 有 什么 区 别 ? 

答案 : 静态 路 由 是 手动 一 条 一 条 配置 ， 配 置 文 件 中 能 够 显示 出 来 ，ISP 路 由 只 能 通 
过 导入 ISP 地 址 文件 的 方式 集体 导入 ， 且 配置 文件 中 无 法 显示 出 ISP 路 由 。 

静态 路 由 可 以 逐条 删除 、 增 加 ; ISP 路 由 只 能 从 ISP 地 址 文件 中 删除 、 增 加 地 址 网 
段 ， 不 能 通过 命令 删除 或 增加 单条 ISP 路 由 。 

在 路 由 表 中 静态 路 由 的 协议 类 型 为 static， 而 ISP 路 由 的 协议 类 型 为 ISP。 

2. 当 有 多 条 策略 路 由 规则 时 ， 防 火 墙 会 按照 什么 样 的 规则 对 报 文 进行 匹配 ? 

答案 : 防火 墙 会 按照 匹配 顺序 ， 先 寻找 第 一 条 规则 ， 如 果 报 文 满足 第 一 条 策略 路 由 
规则 的 匹配 条 件 ， 则 按照 指定 动作 处 理 报 文 。 如 果 不 满足 第 一 条 规则 的 匹配 条 件 ， 则 会 
寻找 下 一 条 策略 路 由 规则 。 如 果 所 有 的 策略 路 由 规则 的 匹配 条 件 都 无 法 满足 ， 报 文 按照 
路 由 表 进 行 转发 。 

3. 配置 智能 选 路 的 前 提 条 件 是 什么 ? 

答案 : 智能 选 路 的 应 用 是 建立 在 等 价 路 由 的 基础 上 的 ， 多 条 出 口 链 路 就 需要 多 条 等 
价 路 由 。 对 于 USG9500 系列 防火 墙 来 说 这 个 等 价 路 由 可 以 是 静态 路 由 、 动 态 路 由 、 缺 省 
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路 由 ， 但 对 于 USG6000 系列 防火 墙 来 说 这 个 等 价 路 由 必须 是 等 价 缺 省 路 由 《0.0.0.0) 。 
4. 透明 DNS 选 路 有 哪 两 种 算法 ， 它 们 之 间 的 区 别 是 什么 ? 

”答案 : 简单 轮 询 算法 和 加 权 轮 询 算 法 ， 两 种 算法 的 区 别 在 于 流量 分 配方 式 不 同 。 简 

单 轮 询 算 法 是 将 DNS 请 求 报 文 依次 分 配 到 各 个 ISP 的 DNS 服务 器 上 ， 加 权 轮 询 算 法 则 

是 将 DNS 请 求 报 文 按照 一 定 权 重 比例 分 配 到 各 个 ISP 的 DNS 服务 器 上 。 


C.11 附录 人 A 


1. 报 文 命中 NAT Server 的 反 向 Server-map 表 后 ， 进 行 源 地 址 转换 ， 然 后 该 报 文 还 
会 匹配 源 NAT 策略 再 次 进行 源 地 址 转换 吗 ? 

答案 : 不 会 再 匹配 源 NAT 策略 进行 地 址 转换 。 

2. 对 于 存在 多 块 SPU 业务 版 的 分 布 式 防火 墙 USG9500 来 说 ， 如 何 保证 回应 报 文 也 
可 以 命中 会 话 ? 

答案 : USG9500 在 建立 会 话 表 时 ， 同 时 会 进行 HASH 预测 ， 准 确 预测 回应 报 文 会 被 
哪 块 业务 板 处 理 ， 并 在 该 业务 板 上 同步 建立 起 一 条 反 向 会 话 ， 保 证 回应 报 文 能 够 被 正确 
转发 。 


C.12 附录 B 


两 个 通信 实体 A 和 B， 都 生成 了 各 自 的 公 钥 和 私 钥 ， 请 问 A 和 B 如 何 通 过 公 钥 密 
码 学 来 验证 对 方 的 身份 ? 

答案 : A 和 B 先 获取 到 对 方 的 公 钥 。A 使 用 自己 的 私 钥 加 密 信息 ，B 收 到 信息 后 使 
用 A 的 公 钥 解密 信息 ， 因 为 A 的 私 钥 只 能 由 A 持 有 ， 因 此 B 可 以 通过 判断 对 方 是 否 持 
有 私 钥 来 判断 对 方 是 否 就 是 A， 进 而 实现 了 对 A 的 身份 认证 ， 反 之 亦 然 。 
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